Es probable que una falla de día cero esté detrás de una serie de ataques recientes contra Cortafuegos Fortinet FortiGate Dispositivos con interfaces de gestión expuestas a la Internet pública. Los investigadores descubrieron que los atacantes se dirigen a los dispositivos para realizar inicios de sesión administrativos no autorizados y otros cambios de configuración, crear nuevas cuentas y realizar autenticación SSL VPN.
Los investigadores del Lobo Ártico han estado siguiendo la campaña desde que notaron por primera vez actividad sospechosa en Dispositivos FortiGate a principios de diciembre, revelaron en un publicación de blog reciente. Observaron que actores maliciosos accedían a las interfaces de gestión de los firewalls afectados (cuyas versiones de firmware estaban entre 7.0.14 y 7.0.16) y modificaban sus configuraciones. Además, en entornos comprometidos, los atacantes también utilizaron DCSync para extraer credenciales.
Lobo ártico publicó un boletín de seguridad en diciembre después de que se descubriera la campaña, mientras que la reciente publicación del blog reveló detalles más profundos, incluidos los atacantes que probablemente explotaron una falla de día cero. Sin embargo, no han “confirmado definitivamente” este vector de acceso inicial, aunque la cronología comprimida de las organizaciones afectadas, así como las versiones de firmware afectadas por la campaña, sugieren que los atacantes están explotando una vulnerabilidad aún no revelada, según los investigadores. por Lobo ártico.
Las víctimas de la campaña no representaban un sector específico o un tamaño de organización, lo que sugiere que “el ataque fue de naturaleza oportunista más que deliberado y metódico”, agregaron.
Los investigadores no proporcionaron detalles sobre el alcance o el volumen de la campaña.
Ciberabuso de la consola de administrador de Fortinet
Lo que alertó a los investigadores actividad maliciosa “a diferencia de las actividades legítimas del firewall, el hecho de que [attackers] ha utilizado ampliamente la interfaz jsconsole desde un puñado de direcciones IP inusuales”, según la publicación. Los productos de firewall de próxima generación FortiGate tienen una funcionalidad estándar y “conveniente” que permite a los administradores acceder a la interfaz de línea de comandos a través de la interfaz de administración web, según los investigadores explicado.
“De acuerdo con la base de conocimientos de FortiGate, cuando se realizan cambios a través de la consola CLI basada en web, la interfaz de usuario se guarda como jsconsole con la dirección IP de origen de la persona que realizó los cambios”, dijeron. “Por el contrario, los cambios realizados a través de ssh aparecerán como ssh para la interfaz de usuario”.
Los investigadores no tienen confirmación directa de que tales comandos se estén utilizando en la campaña actual; Sin embargo, las actividades observadas siguen un patrón similar en la forma en que invocan jsconsole, agregaron.
“Dadas las sutiles diferencias en el arte y la infraestructura entre las intrusiones, es posible que varios individuos o grupos estuvieran involucrados en esta campaña, pero el uso de jsconsole fue un hilo conductor en todos los ámbitos”, dijeron los investigadores.
Un ciberataque en cuatro fases, aún en curso
Los investigadores dividieron la campaña en cuatro fases que comenzaron a mediados de noviembre: comenzó con una fase de escaneo de vulnerabilidades, seguida de una fase de reconocimiento a finales de noviembre, una fase de configuración de VPN SSL a principios de diciembre y finalmente la conclusión. con movimiento lateral desde mediados de diciembre hasta finales de diciembre. Sin embargo, señalaron que la campaña está en curso y que es posible que descubran otras actividades en el futuro.
“Estas fases están delineadas por los tipos de cambios de configuración maliciosos que se observaron en los firewalls comprometidos en múltiples organizaciones víctimas y por las actividades realizadas por los actores maliciosos después de obtener acceso”, explicaron los investigadores.
Normalmente, el número total de conexiones jsconsole exitosas desde direcciones IP anómalas osciló entre varios cientos y varios miles de entradas para cada organización víctima, abarcando las cuatro fases de la campaña.
“La mayoría de estas sesiones fueron de corta duración, con los correspondientes eventos de desconexión en un segundo o menos”, escribieron los investigadores. “En algunos casos, se produjeron múltiples eventos de inicio o cierre de sesión en el mismo segundo, con hasta cuatro eventos por segundo”.
No exponga las interfaces de administración a la Internet pública
Los dispositivos Fortinet son un objetivo popular para los actores de amenazas, con vulnerabilidades Se encuentra en productos ampliamente explotados para hackear redes. Para protegerse contra ataques, las organizaciones nunca deben exponer las interfaces de administración de dispositivos de Fortinet a la Internet pública, independientemente de las características específicas del producto, afirman los investigadores. En cambio, el acceso a estas interfaces debería limitarse a usuarios internos de confianza.
“Cuando dichas interfaces permanecen abiertas en la Internet pública, se expande la superficie de ataque disponible para actores maliciosos, abriendo la posibilidad de identificar vulnerabilidades que exponen funcionalidades destinadas a estar limitadas a administradores confiables”, escriben en el mensaje.
Los administradores también deben seguir las mejores prácticas comunes para actualizar periódicamente el firmware del dispositivo para corregir vulnerabilidades u otros problemas de seguridad. Además, añaden los investigadores, las organizaciones también deben asegurarse de que el monitoreo Syslog esté configurado para todos los firewalls de una organización para aumentar la probabilidad de detectar rápidamente actividad maliciosa.