Los operadores de ransomware están explotando los dispositivos de red de Fortinet que siguen siendo vulnerables a una vulnerabilidad crítica de omisión de autenticación, según una investigación publicada hoy por la Unidad de Investigación de Amenazas (TRU) de eSentire.
Fortinet reveló por primera vez la vulnerabilidad en cuestión, rastreada como CVE-2022-40684, el 10 de octubre de 2022. Afecta a FortiOS, FortiProxy y FortiSwitchManager, que, si se explota con éxito, permitiría a un actor no autenticado realizar operaciones en la interfaz de administración enviando Solicitudes HTTP o HTTPS diseñadas.
Fortinet dijo en el momento de la divulgación que estaba al tanto de una instancia de la vulnerabilidad que había sido explotada. Sin embargo, según eSentire, un exploit funcional de prueba de concepto (PoC) estaba circulando solo tres días después, después de lo cual una “gran cantidad” de actores de amenazas comenzó a escanear Internet en busca de dispositivos vulnerables.
El equipo de TRU dijo que había detectado y cancelado dos ataques a sus clientes: uno, una institución de educación superior en Canadá y el otro, un proveedor de servicios comerciales en los EE. UU. Ambos fueron atacados por un operador de ransomware no revelado, y en ambos casos, la investigación condujo a dispositivos vulnerables de red privada virtual (SSL VPN) de capa de conexión segura de Fortinet que estaban siendo administrados y monitoreados por proveedores de servicios administrados (MSP) de terceros.
Una vez que se afianzaron en los entornos de destino, el actor de amenazas abusó del Protocolo de escritorio remoto (RDP) de Microsoft para lograr un movimiento lateral, así como las utilidades de cifrado legítimas BestCrypt y BitLocker. El modus operandi general y la nota de rescate eran indicativos de un grupo relativamente nuevo conocido como KalajaTomorr.
Keegan Keplinger, líder de investigación e informes de eSentire TRU, le dijo a Computer Weekly que el uso de una VPN insegura para propagar ransomware no debería, en sí mismo, sorprender a nadie.
“Las VPN SSL son fáciles de configurar incorrectamente y son un objetivo muy importante para la explotación, ya que deben estar expuestas a Internet y brindan acceso a las credenciales para la organización”, dijo Keplinger.
“Además, la tendencia de que estos dispositivos sean administrados por un tercero a menudo significa que la organización y sus proveedores de seguridad no tienen visibilidad directa de las actividades que se realizan en el dispositivo. Esto permite a los actores de amenazas tiempos de permanencia más prolongados, como se observa en la venta de estos dispositivos en la web oscura. [making] Las VPN SSL son un objetivo principal para los corredores de acceso inicial [IABs]”, agregó.
En este punto, Keplinger explicó que la TRU también había observado que múltiples partes compraban y vendían acceso a dispositivos Fortinet comprometidos en las semanas posteriores a la divulgación inicial. Estas ventas iban desde objetivos individuales hasta ventas masivas de múltiples víctimas potenciales; en un caso, se observó que un IAB vendía acceso masivo por suscripción mensual, pidiendo entre $ 5,000 y $ 7,000.
Keplinger dijo que la investigación de la TRU había demostrado que los delincuentes cibernéticos siempre están al tanto cuando se trata de explotar vulnerabilidades en productos bien utilizados. Fortinet, como proveedor popular de soluciones de seguridad de red, podría considerarse particularmente en riesgo de que su tecnología se explote de esa manera.
“Un punto ciego particular, en este caso, fueron los dispositivos Fortinet desactualizados, administrados por terceros. Esto crea una brecha de visibilidad para la organización y sus proveedores de seguridad; en los casos que observamos, esto llevó a que los dispositivos de Fortinet fueran aprovechados por los actores de ransomware. No puede obtener un agente de punto final en un dispositivo de Fortinet, pero tienen la funcionalidad de registro de seguridad, que es lo que nos permitió rastrear e interceptar los dispositivos en los que estaban sentados los corredores de acceso inicial”, dijo Keplinger.
“Para detectar acciones de intrusión, después de que se haya vendido ese acceso, el monitoreo de puntos finales generalmente funciona, y si su solución de monitoreo de puntos finales puede poner en cuarentena los puntos finales, puede interceptar ataques antes de que se implemente el ransomware”, agregó.
Computer Weekly contactó a Fortinet para obtener más información, pero la organización no había respondido al momento de la publicación.
Al mismo tiempo, los defensores deben estar alerta ante la posibilidad de explotar una vulnerabilidad diferente en FortiOS SSL VPN, revelada por Olympe Cyberdefense, con sede en Francia, justo antes de Navidad. El desbordamiento de búfer basado en montón rastreado como CVE-2022-42475 podría permitir que atacantes remotos no autenticados ejecuten código arbitrario.