FBI cảnh báo các nhóm APT đang tích cực khai thác lỗ VPN của Fortinet

FBI cảnh báo các nhóm APT đang tích cực khai thác lỗ VPN của Fortinet

FBI và Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) vừa phát đi cảnh báo các nhóm tin tặc APT được nhà nước bảo trợ đang tích cực khai thác các lỗ hổng trong hệ điều hành an ninh mạng Fortinet FortiOS, ảnh hưởng đến các sản phẩm SSL VPN của công ty này.

​Cảnh báo cho biết những kẻ tấn công đang quét các thiết bị trên các cổng 4443, 8443 và 10443 để tìm kiếm các lỗ hổng bảo mật đã công bố nhưng chưa được vá. Cụ thể, các nhóm APT đang khai thác CVE-2018-13379, CVE-2019-5591 và CVE-2020-12812.

“Có thể các nhóm APT đang quét các lỗ hổng này để chiếm quyền truy cập vào các mạng dịch vụ của chính phủ, thương mại và công nghệ. Tin tặc trước đó từng khai thác các lỗ hổng nghiêm trọng để tấn công DDoS, lây nhiễm ransomware, tấn công SQL injection, thực hiện các chiến dịch lừa đảo trực tuyến, thay đổi giao diện trang web và tung tin giả”.

CVE-2018-13379 là lỗ hổng path traversal trong Fortinet FortiOS, trong đó cổng web SSL VPN cho phép tin tặc tải xuống các tệp hệ thống thông qua các truy vấn tài nguyên HTTP đặc biệt.

Lỗ hổng CVE-2019-5591 là lỗ hổng cấu hình mặc định trong FortiOS có thể bị kẻ tấn công trong cùng một mạng con chặn thông tin bằng cách mạo danh máy chủ LDAP.

CVE-2020-12812 là lỗ hổng xác thực trong SSL VPN, có thể cho phép người dùng đăng nhập thành công mà không cần bước xác thực thứ hai (FortiToken) nếu người dùng thay đổi username.

Chuyên gia Zach Hanley tại Horizon3.AI, cho biết: “Tin tặc đang ngày càng nhắm vào các ứng dụng bên ngoài quan trọng và trong năm 2020 VPN thường xuyên là mục tiêu bị tấn công. Ba lỗ hổng trong Fortinet VPN cho phép kẻ tấn công có được thông tin xác thực hợp lệ, bỏ qua xác thực đa yếu tố (MFA) và tấn công man-in-the-middle (MITM) để chặn thông tin xác thực”.

Các nhà nghiên cứu nhấn mạnh các lỗ hổng này thường xuyên bị khai thác trong các cuộc tấn công mạng, do sự phổ biến của Fortinet.

“CVE-2018-13379 là một lỗ hổng nghiêm trọng trong Fortinet FortiOS SSL VPN, rất được tội phạm mạng “ưa chuộng” kể từ khi mã khai thác được công bố vào tháng 8/2019”, Satnam Narang, kỹ sư tại công ty Tenable, cho biết.

FBI và CISA không cung cấp thêm chi tiết về các nhóm APT đã tấn công gần đây.

Sau khi khai thác thành công, tin tặc sẽ theo dõi các mục tiêu.

Cảnh báo cho biết: “Các nhóm APT có thể đang sử dụng bất kỳ CVE nào hoặc tất cả các CVE trên để truy cập vào các mạng quan trọng, hỗ trợ việc định vị cho các cuộc tấn công xâm nhập dữ liệu hoặc mã hóa dữ liệu tiếp theo”.

“Không có gì ngạc nhiên khi các lỗ hổng trong Fortinet FortiOS như CVE-2019-5591 và CVE-2020-12812 bị các nhóm tin tặc khai thác”. Chuyên gia Narang giải thích: “Trong vài năm qua, các lỗ hổng SSL VPN đã là mục tiêu hấp dẫn đối với các nhóm APT và tội phạm mạng. Việc thay đổi sang phương thức làm việc từ xa và nhu cầu ngày càng tăng đối với các SSL VPN đã mở rộng phạm vi tấn công và đối tượng tấn công cho các tin tặc. Các tổ chức được khuyến cáo cập nhật bản vá các thiết bị Fortinet ngay lập tức”.

Hướng dẫn bảo vệ mạng

FBI và CISA đã đưa ra các khuyến cáo sau đây để hướng dẫn các tổ chức ngăn chặn các cuộc tấn công:

  • Ngay lập tức vá các lỗ hổng CVE 2018-13379, 2020-12812 và 2019-5591.
  • Nếu đơn vị của bạn không sử dụng FortiOS, bổ sung các tệp artifact mà FortiOS sử dụng vào danh sách từ chối thực thi của đơn vị. Cần ngăn chặn mọi nỗ lực cài đặt hoặc chạy chương trình này và các file liên quan.
  • Thường xuyên sao lưu dữ liệu và sao lưu ngoại tuyến bảo vệ bằng mật khẩu và mạng lưới air-gap. Đảm bảo không thể truy cập để sửa đổi hoặc xóa các bản sao dữ liệu quan trọng.
  • Thực hiện phân đoạn mạng.
  • Yêu cầu thông tin đăng nhập của quản trị viên để cài đặt phần mềm.
  • Triển khai kế hoạch khôi phục dữ liệu từ một vị trí an toàn, được phân đoạn, tách biệt về mặt vật lý (ổ cứng, thiết bị lưu trữ, đám mây).
  • Cài đặt các bản cập nhật/vá lỗi hệ điều hành, phần mềm và chương trình cơ sở ngay sau khi các bản cập nhật/vá lỗi được phát hành.
  • Sử dụng xác thực đa yếu tố.
  • Thường xuyên thay đổi mật khẩu của hệ thống mạng và tài khoản, đồng thời tránh sử dụng chung mật khẩu cho nhiều tài khoản.
  • Tắt các cổng truy cập từ xa, các cổng RDP không được sử dụng và giám sát log truy cập
  • Kiểm tra các tài khoản người dùng có quyền quản trị và cấu hình các kiểm soát truy cập với ít đặc quyền nhất.
  • Cài đặt và cập nhật thường xuyên phần mềm diệt virus và diệt phần mềm độc hại trên tất cả các máy chủ.
  • Cân nhắc thêm banner email đối với các email gửi từ bên ngoài tổ chức.
  • Vô hiệu hóa các hyperlink trong các email đã nhận.
  • Đào tạo nhận thức an ninh mạng. Cung cấp cho người dùng các nguyên tắc và kỹ thuật bảo mật thông tin, đặc biệt là cách nhận biết và tránh các email lừa đảo.

Theo Threatpost