Інтернет-видання Ars Technica повідомляє, що майже 336 тисяч пристроїв, підключених до Інтернету, залишаються вразливими до критичної вразливості у брандмауерах, які продає Fortinet. Це пов’язано з тим, що адміністратори досі не встановили патчі, які компанія випустила 3 тижні тому.
CVE-2023-27997 – це віддалене виконання коду в Fortigate VPN, який входить до брандмауерів компанії. Вразливість, яка випливає з помилки переповнення стека, має рейтинг серйозності 9,8 із 10.
Fortinet випустив оновлення, тихо виправивши помилки ще 8 червня, і повідомив про це через 4 дні, зазначивши, що цю вразливість могли використовувати в цілеспрямованих атаках. Того ж дня Агенція з кібербезпеки та інфраструктури США додала цю вразливість до свого каталогу і наказала встановити нові патчі.
Попри серйозність вразливості та наявність патча, адміністратори повільно виправляють її, зазначили дослідники.
На підставі даних, отриманих від пошукової системи Shodan, компанія Bishop Fox у п’ятницю повідомила, що із 489 337 уражених пристроїв, виявлених в Інтернеті, 335 923 (69%) залишаються без патчів. Фахівці заявили, що деякі з уражених машин, вірогідно, працюють на програмному забезпеченні Fortigate, яке не оновлювалося з 2015 року.
Останніми роками кілька продуктів Fortinet стали об’єктом активних атак. У лютому хакери з кількох груп почали використовувати критичну вразливість у FortiNAC – системі контролю доступу до мережі, яка ідентифікує та контролює підключені до мережі пристрої.
Один із дослідників атак заявив, що метою цих атак, відстежуваних як CVE-2022-39952, стала «масштабна установка вебшелів», які надавали хакерам віддалений доступ до уражених систем.
У грудні минулого року невідомий хакер скористався іншою вразливістю у FortiOS SSL-VPN для зараження урядових та пов’язаних з урядом організацій високотехнологічними шкідливими програмами.
Fortinet тихо виправив уразливість ще наприкінці листопада, але не розкривав інформації про це, поки не розпочалися реальні атаки. Компанія досі не пояснила причин і не повідомила свою політику з приводу розкриття вразливостей у своїх продуктах.
У 2021 році атак зазнали три вразливості у FortiOS VPN від Fortinet – дві з них були виправлені у 2019 році, ще одна – роком пізніше. Тоді зловмисники намагались отримати доступ до кількох урядових, комерційних і технологічних служб.
Досі мало відомостей про активні експлойти CVE-2023-27997, які, за повідомленнями Fortinet, можуть існувати. Volt Typhoon – назва групи китайськомовних атакерів, що активно експлуатували CVE-2023-40684, – іншу критичну вразливість Fortigate такого ж високого рівня.
Представники Fortinet у своєму повідомленні від 12 червня заявили: «Наразі ми не пов’язуємо FG-IR-23-097 із діяльністю членів Volt Typhoon, але Fortinet очікує, що всі злочинці, включно з тими, хто стоїть за цією кампанією, продовжуватимуть експлуатувати невиправлені вразливості у програмному забезпеченні та пристроях».
Fortinet наполегливо рекомендує вживати негайних і постійних заходів для зменшення ризику через активну кампанію встановлення патчів.
Раніше ми повідомляли, що російська хакерська група шпигувала за українськими військовими за допомогою JavaScript-коду.
У червні Агенція з кібербезпеки та інфраструктури США попереджала про критичну вразливість у програмному забезпеченні для передачі файлів MOVEit.