Fortinet לא חשפה את הפגיעות של יום אפס במשך יותר משבוע, למרות דיווחים שתוקפים משתמשים בה כדי להפעיל קוד זדוני בשרתים המשרתים תשתית קריטית.
החברה טרם מסרה הודעה פומבית על הפגיעות או ציינה איזו תוכנה מושפעת. זה עולה בקנה אחד עם הפרקטיקה הקודמת של Fortinet לשמור על שתיקה על פרצות של יום אפס, אשר שימשו בעבר כדי לתקוף לקוחות. בהיעדר נתונים רשמיים, משתמשים ומומחים דנו בבעיה ברשתות החברתיות לפחות מאז 13 באוקטובר.
על ידי מידע מ-Reddit, הפגיעות משפיעה על FortiManager, המשמשת לניהול התקני רשת. הגרסאות הבאות נחשבות לפגיעות:
- 7.6.0 ומטה
- 7.4.4 ומטה
- 7.2.7 ומטה
- 7.0.12 ומטה
- 6.4.14 ומטה
מומלץ להתקין עדכונים לגרסאות 7.6.1, 7.4.5, 7.2.8, 7.0.13 או 6.4.15. דווח כי גם גרסת הענן של FortiManager Cloud עשויה להיות רגישה להתקפות. חלק מהמנהלים של רשתות מבוססות FortiGate דיווחו שהם קיבלו הודעות עם המלצות לשדרוג. עם זאת, משתמשים אחרים לא קיבלו הודעות כאלה, ופורטינט עצמה לא הוציאה אזהרה פומבית או רשם את הפגיעות במסד הנתונים של CVE, מה שהקשה על מעקב אחר האיום.
על ידי נתונים של החוקר קווין ביומונט, הבעיה קשורה להגדרות ברירת המחדל ב-FortiManager, המאפשרות לרשום מכשירים עם מספרים סידוריים לא מאומתים. תגובה שנמחקה מאז ב-Reddit טענה כי הבאג יכול לאפשר לתוקפים לגנוב את תעודת Fortigate, לרשום את המכשיר ב-FortiManager ולקבל גישה לרשת.
ביומונט הסביר שהאקרים רושמים מכשירים מזויפים הנקראים "localhost" ומשתמשים בהם כדי להפעיל קוד מרחוק ב-FortiManager. פעולות כאלה מספקות גישה לניהול מכשירים אמיתיים, כמו גם סנכרון תצורות ונתוני הרשאות. באחרת הערות
נדון שפושעי סייבר יכולים לגנוב תעודות אימות ולרשום מכשיר משלהם כדי לחדור לרשת מנוהלת. זה מקשה על ההגנה, שכן אפילו מכשיר עם אישור תקף יכול לשמש להתקפה.
גם ביומונט מוצע שהאקרים סינים יכולים להשתמש בפגיעות כדי לחדור לרשתות ארגוניות מאז תחילת השנה. יותר מ-60,000 חיבורים דרך פרוטוקול Fortinet FGFM הנדרשים לתקשורת בין FortiGate ל-FortiManager נחשפים באינטרנט, מה שמגדיל את הסיכונים.
הפרוטוקול מאפשר לתוקפים להשתמש בתעודות FortiGate כדי לרשום מכשירים מזויפים ולאחר מכן להפעיל קוד ב-FortiManager. על ידי ניהול מכשירים באמצעות FortiManager, התוקפים יכולים לשנות תצורות, לחלץ סיסמאות ולחדור לרשתות משתמשי קצה. הוספת מורכבות נוספת הן בעיות בגישה לפורטל התמיכה של Fortinet, שעשויות לנבוע מניסיונות החברה להימנע מכל אזכור לבעיות.
המדענים הוכיחו שקריאת הערוץ שלנו מאריכה חיים!
בסדר, הם לא הוכיחו עדיין אבל אנחנו עובדים על זה, קחו חלק בניסוי – הירשמו ,והישארו מעודכנים!