Postřehy z bezpečnosti: zneužívaná zranitelnost v produktech Fortinet

19. 6. 2023
Doba čtení: 5 minut

Sdílet

 Autor: Fortinet
V dnešním díle Postřehů se podíváme na aktivní zneužívání zranitelnosti XORtigate, dopady útoku skupiny Cl0p na systémy MOVEit nebo nové nařízení požadující odstranění konfiguračních rozhraní z internetu.

Zneužívání zranitelnosti XORtigate

Společnost Fortinet počátkem týdne publikovala záplatu pro kritickou zranitelnost postihující její produkty, které poskytují funkcionalitu SSL VPN koncentrátorů. Zranitelnosti byl přiřazen identifikátor CVE-2023–27997 a v rámci bezpečnostní komunity získala rovněž označení XORtigate.

Zranitelnost, která má dle výrobce dočasné CVSS skóre 9,2, je typu heap overflow a umožňuje neautentizovanému vzdálenému útočníkovi spouštět na zranitelných systémech libovolný kód (tzv. remote code execution). Detailní popis zranitelnosti je k dispozici na stránkách bezpečnostního týmu, který zranitelnost původně objevil a nahlásil společnosti Fortinet.

V průběhu týdne detekoval vyhledávač Shodan na internetu přes 512 000 firewallů Fortigate (z toho cca 4 300 v ČR), které by mohly být zranitelností potenciálně postiženy. Přestože vybrané systémy již budou bezpochyby záplatovány, mj. i v důsledku toho, že na zranitelnost od počátku týdne mohutně upozorňoval jak výrobce, tak odborná média nebo CISA či NÚKIB, lze předpokládat, že počty nezáplatovaných zařízení budou stále relativně vysoké. To je problematické zejména vzhledem ke skutečnosti, že dle informací CISA je již zranitelnost aktivně zneužívána útočníky.

Přestože v době přípravy tohoto textu ještě nebyl k dispozici volně dostupný proof of concept exploit, lze vlastníkům a administrátorům zranitelných systémů doporučit nejen urychleně aplikovat relevantní záplatu, ale rovněž prověřit, zda v mezidobí již nebylo jejich prostředí kompromitováno. Pro úplnost je vhodné uvést, že v případech, kdy není možné relevantní záplatu aplikovat je možné zneužití zranitelnosti zabránit pouze použitím workaroundu v podobě vypnutí funkcionality SSL-VPN na postižených zařízeních.

Pokračující zneužívání zranitelnosti v nástroji MOVEit

Koncem minulého týdne publikovala společnost Progress Software záplaty pro nově objevenou zranitelnost ve svých produktech MOVEit Transfer a MOVEit Cloud, které jsou užívány řadou organizací po celém světě pro přenos a sdílení souborů.

Zranitelnost, jíž byl přiřazen identifikátor CVE-2023–35036, je typu SQL injection a byla (spolu s další kritickou zranitelností) identifikována v rámci interně prováděné analýzy kódu, k níž se společnost Progress odhodlala poté, co jinou SQL injection zranitelnost (CVE-2023–34362) začali v průběhu května masivně zneužívat útočníci, zejména pak skupina za ransomwarem Cl0p.

Té se v uplynulých týdnech podařilo získat s pomocí výše zmíněné zranitelnosti data velkého počtu organizací, které začala vydírat hrozbou zveřejnění citlivých informací, přičemž jim poskytla možnost začít vyjednávat o výkupném nejpozději do 14. června.

Po uplynutí této lhůty publikovala skupina na svých stránkách první část seznamu institucí, jejichž data se jí podařilo získat.

Mezi postižené organizace zřejmě patří například Shell, BBC, British Airways, stát New York, telekomunikační regulátor Velké Británie nebo ministerstvo energetiky Spojených států.

Lze očekávat, že útoky na nezáplatované systémy MOVEit budou i nadále pokračovat, mj. vzhledem k tomu, že pro výše diskutovanou zranitelnost je v současnosti již k dispozici volně dostupný proof of concept exploit.

CISA vydala nařízení požadující odstranění konfiguračních rozhraní z internetu

Cybersecurity and Infrastructure Security Agency (CISA), americký úřad pro kybernetickou bezpečnost, v úterý publikoval nařízení, v němž ukládá federálním organizacím v USA povinnost odstranit z internetu konfigurační rozhraní jimi provozovaných systémů. Konkrétně se nařízení vztahuje na síťové a bezpečnostní prvky a konfigurační rozhraní serverů (např. iLO a iDRAC).

Přestože se to může zdát překvapivé, podobných konfiguračních rozhraní je z internetu přístupný relativně velký počet. Pro ilustraci lze uvést například že loňský výzkum zaměřený na identifikací serverů HP s rozhraním iLO publikovaným do internetu identifikoval globálně přes 20 000 takových systémů, přičemž řada z nich používala neaktuální a zranitelné verze softwaru.

Výše popsaný krok ze strany CISA lze dávat do souvislosti mj. s posunem v zaměření kybernetických operací čínských skupin, které byly historicky orientovány zejména na špionáž, nicméně v současnosti se začínají zaměřovat i na aktivity zaměřené na narušení fungování kritické infrastruktury.

ict ve školství 24

Přestože diskutované nařízení pochopitelně nemá žádný dopad do českého prostředí, vzhledem k tomu, že jeho obsah lze považovat za shrnutí obecné dobré bezpečnostní praxe, je na místě doporučit dodržování či alespoň zohlednění jeho požadavků i jakékoli „domácí“ organizaci.

Další zajímavosti

Pro pobavení

Changing the names would be easier, but if you're not comfortable lying, try only making friends with people named Alice, Bob, Carol, etc.

Changing the names would be easier, but if you're not comfortable lying, try only making friends with people named Alice, Bob, Carol, etc.

Autor: Randall Munroe, podle licence: CC BY-NC 2.5

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

ikonka

Zajímá vás toto téma? Chcete se o něm dozvědět víc?

Objednejte si upozornění na nově vydané články do vašeho mailu. Žádný článek vám tak neuteče.

Autor článku

Jan Kopřiva je specialistou na kybernetickou bezpečnost s dlouhou praxí a širokými zkušenostmi. V současnosti působí jako bezpečnostní konzultant ve společnosti Nettles Consulting a také jako jeden z odborníků ve sdružení SANS Internet Storm Center.