Fortinet предупреждает пользователей VPN, пострадавших от критической уязвимости
13 января 2023 г.Хакеры активно атакуют государственные организации с помощью вредоносных программ и троянов, используя известные уязвимости в Fortinet VPN.
Согласно заявлению самой Fortinet, которая ранее на этой неделе опубликовала бюллетень по безопасности, призывая пользователей немедленно установить исправление. Уязвимость отслеживается как CVE-2022-42475 и описывается как переполнение буфера кучи в FortiOS SSLVPN. Это позволяет злоумышленникам как сломать уязвимую конечную точку, так и использовать ее для получения возможностей удаленного выполнения кода (RCE).
Исправление доступно с конца ноября прошлого года. FortiOS 7.2.3 устраняет эту проблему.
Точные атаки
Fortinet не в первый раз призывает пользователей установить это конкретное исправление. Компания также выпустила предупреждение в середине декабря 2022 года. На этот раз Fortinet предупредила своих клиентов, что уязвимость используется для развертывания зараженной троянами версии двигатель ПИС.
«Сложность эксплойта свидетельствует о том, что он является продвинутым субъектом и что он нацелен на правительственные или связанные с правительством цели», — говорится в предупреждении. «В обнаруженном образце Windows, приписываемом злоумышленнику, обнаружены артефакты компиляции на компьютере в часовом поясе UTC+8, который включает Австралию, Китай, Россию, Сингапур и другие страны Восточной Азии».
threat актеры приложили немало усилий, чтобы убедиться, что они остаются скрытыми, после того, как скомпрометировали конечную точку.
Некоторые вредоносные программы, установленные в FortiOS, исправляют процесс ведения журнала, позволяя злоумышленникам удалять определенные записи журнала и тем самым стирать любые доказательства их существования. Кроме того, они также устанавливали вредоносное ПО, которое вмешивается в систему предотвращения вторжений (IPS) конечных точек.
«Вредоносное ПО исправляет процессы ведения журналов FortiOS, чтобы манипулировать журналами, чтобы избежать обнаружения», — сообщает Fortinet. «Вредоносная программа может манипулировать файлами журналов. Она ищет файлы elog, которые представляют собой журналы событий в FortiOS. После их распаковки в памяти она ищет указанную злоумышленником строку, удаляет ее и восстанавливает журналы».
Лучший способ защитить свои помещения от этих атак — убедиться, что ваша FortiOS обновлена.
Через: BleepingComputer
Оригинал