Тихая атака: Fortinet скрывает 0day в критической инфраструктуре
NewsMakerFortiManager становится точкой входа в самые чувствительные системы.
Fortinet более недели не раскрывает информацию об уязвимости нулевого дня, несмотря на сообщения о том, что злоумышленники используют её для выполнения вредоносного кода на серверах, обслуживающих критическую инфраструктуру.
Компания пока не предоставила публичных уведомлений об уязвимости и не уточнила, какое именно программное обеспечение затронуто. Это соответствует прежней практике Fortinet по молчаливому отношению к уязвимостям нулевого дня ( zero-day ), которые ранее уже использовались для атак на клиентов. В отсутствие официальных данных, пользователи и специалисты обсуждают проблему в социальных сетях как минимум с 13 октября.
По информации с Reddit, уязвимость затрагивает FortiManager, используемый для управления сетевыми устройствами. Уязвимыми считаются версии:
Некоторые администраторы сетей на базе FortiGate сообщили, что получили уведомления с рекомендациями по обновлению. Однако другие пользователи таких уведомлений не получали, а сам Fortinet не выпустил публичного предупреждения и не зарегистрировал уязвимость в базе CVE, затрудняя отслеживание угрозы.
По данным исследователя Кевина Бомонта, проблема связана с настройками по умолчанию в FortiManager, позволяющими регистрировать устройства с неподтверждёнными серийными номерами. В удалённом комментарии на Reddit утверждалось, что ошибка позволяет злоумышленникам украсть сертификат Fortigate, зарегистрировать устройство в FortiManager и получить доступ к сети.
Бомонт пояснил, что хакеры регистрируют поддельные устройства с названиями «localhost» и используют их для выполнения удалённого кода на FortiManager. Такие действия открывают доступ к управлению реальными устройствами, а также к синхронизации конфигураций и данным авторизации.
В другом комментарии обсуждалось, что киберпреступники могут украсть сертификаты для аутентификации и зарегистрировать собственное устройство, чтобы проникнуть в управляемую сеть. Это затрудняет защиту, так как даже устройство с валидным сертификатом может быть использовано для атаки.
Бомонт также предположил, что китайские хакеры могли использовать уязвимость для проникновения в корпоративные сети с начала года. Более 60 000 подключений через FGFM-протокол Fortinet, необходимый для связи между FortiGate и FortiManager, доступны в Интернете, что увеличивает риски.
Протокол позволяет злоумышленникам использовать сертификаты FortiGate для регистрации поддельных устройств, а затем выполнять код на FortiManager. Управляя устройствами через FortiManager, атакующие могут изменять конфигурации, извлекать пароли и проникать в сети конечных пользователей. Дополнительную сложность добавляют проблемы с доступом к порталу поддержки Fortinet, что может быть связано с попытками компании избежать любого упоминания проблем.
Fortinet более недели не раскрывает информацию об уязвимости нулевого дня, несмотря на сообщения о том, что злоумышленники используют её для выполнения вредоносного кода на серверах, обслуживающих критическую инфраструктуру.
Компания пока не предоставила публичных уведомлений об уязвимости и не уточнила, какое именно программное обеспечение затронуто. Это соответствует прежней практике Fortinet по молчаливому отношению к уязвимостям нулевого дня ( zero-day ), которые ранее уже использовались для атак на клиентов. В отсутствие официальных данных, пользователи и специалисты обсуждают проблему в социальных сетях как минимум с 13 октября.
По информации с Reddit, уязвимость затрагивает FortiManager, используемый для управления сетевыми устройствами. Уязвимыми считаются версии:
- 7.6.0 и ниже;
- 7.4.4 и ниже;
- 7.2.7 и ниже;
- 7.0.12 и ниже;
- 6.4.14 и ниже.
Некоторые администраторы сетей на базе FortiGate сообщили, что получили уведомления с рекомендациями по обновлению. Однако другие пользователи таких уведомлений не получали, а сам Fortinet не выпустил публичного предупреждения и не зарегистрировал уязвимость в базе CVE, затрудняя отслеживание угрозы.
По данным исследователя Кевина Бомонта, проблема связана с настройками по умолчанию в FortiManager, позволяющими регистрировать устройства с неподтверждёнными серийными номерами. В удалённом комментарии на Reddit утверждалось, что ошибка позволяет злоумышленникам украсть сертификат Fortigate, зарегистрировать устройство в FortiManager и получить доступ к сети.
Бомонт пояснил, что хакеры регистрируют поддельные устройства с названиями «localhost» и используют их для выполнения удалённого кода на FortiManager. Такие действия открывают доступ к управлению реальными устройствами, а также к синхронизации конфигураций и данным авторизации.
В другом комментарии обсуждалось, что киберпреступники могут украсть сертификаты для аутентификации и зарегистрировать собственное устройство, чтобы проникнуть в управляемую сеть. Это затрудняет защиту, так как даже устройство с валидным сертификатом может быть использовано для атаки.
Бомонт также предположил, что китайские хакеры могли использовать уязвимость для проникновения в корпоративные сети с начала года. Более 60 000 подключений через FGFM-протокол Fortinet, необходимый для связи между FortiGate и FortiManager, доступны в Интернете, что увеличивает риски.
Протокол позволяет злоумышленникам использовать сертификаты FortiGate для регистрации поддельных устройств, а затем выполнять код на FortiManager. Управляя устройствами через FortiManager, атакующие могут изменять конфигурации, извлекать пароли и проникать в сети конечных пользователей. Дополнительную сложность добавляют проблемы с доступом к порталу поддержки Fortinet, что может быть связано с попытками компании избежать любого упоминания проблем.