El FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) dijeron que los delincuentes informáticos avanzados probablemente están explotando vulnerabilidades críticas en Fortinet FortiOS VPN en un intento de plantar una cabeza de playa para violar empresas medianas y grandes en ataques posteriores.
«Los actores de APT pueden usar estas vulnerabilidades u otras técnicas de explotación comunes para obtener acceso inicial a múltiples servicios gubernamentales, comerciales y tecnológicos», dijeron las agencias el viernes en un aviso conjunto. «Obtener acceso inicial predispone a los actores de la APT para llevar a cabo futuros ataques».
Dos de las tres vulnerabilidades ya parcheadas enumeradas en el aviso, CVE-2018-13379 y CVE-2020-12812, son particularmente graves porque hacen posible que los delincuentes informáticos no autenticados roben credenciales y se conecten a VPN que aún no se han actualizado.
Uno de los errores de seguridad más graves, CVE-2018-13379, fue encontrado y revelado por los investigadores Orange Tsai y Meh Chang de la firma de seguridad Devcore. Las diapositivas de una charla que dieron los investigadores en la Conferencia de Seguridad de Black Hat en 2019 lo describen como una «lectura de archivos arbitraria previa a la autorización», lo que significa que permite al explotador leer bases de datos de contraseñas u otros archivos de interés. Además, hay múltiples tutoriales de explotación.
La firma de seguridad Tenable, mientras tanto, dijo que CVE-2020-12812 puede resultar en que un explotador pase por alto la autenticación de dos factores e inicie sesión con éxito.
«Si las credenciales de VPN también se comparten con otros servicios internos (por ejemplo, si son Active Directory, LDAP o credenciales de inicio de sesión único similares), el atacante obtiene acceso de inmediato a esos servicios con los privilegios del usuario cuyas credenciales fueron robadas», dijo James Renken, ingeniero de confiabilidad de sitios del Grupo de Investigación de Seguridad de Internet.
Renken es una de las dos personas a las que se atribuye el descubrimiento de una tercera vulnerabilidad de FortiOS, CVE-2019-5591, que, según el aviso del viernes, probablemente también está siendo explotada. El atacante puede entonces explorar la red, pivotar para intentar explotar varios servicios internos, etc.
CVE-2018-13379 es una antigua vulnerabilidad resuelta en mayo de 2019. Fortinet emitió de inmediato un aviso de PSIRT y publicó toda la información en su blog.
El FBI y CISA no proporcionaron detalles sobre la APT mencionada en el aviso conjunto. El aviso también cubre diciendo que existe una «probabilidad» de que los actores de la amenaza estén explotando activamente las vulnerabilidades.