Исследователи безопасности говорят, что злоумышленники используют недавно обнаруженную уязвимость в брандмауэрах Fortinet для проникновения в корпоративные и корпоративные сети.
В опубликованном во вторник сообщении производитель продуктов безопасности Fortinet подтвердил, что уязвимость с критическим рейтингом в его брандмауэрах FortiGate, отслеживаемая как CVE-2024-55591, «эксплуатируется в дикой природе».
Fortinet предоставила доступ к исправлениям, но исследователи безопасности предупреждают, что хакеры массово эксплуатируют уязвимость нулевого дня — то есть до того, как Fortinet узнала об уязвимости и предоставила исправления — с декабря.
Это последний пример того, как хакеры используют уязвимость в популярном продукте корпоративной безопасности, предназначенном для защиты корпоративных сетей от злоумышленников. Новости об ошибке Fortinet появились через несколько дней после того, как выяснилось, что злоумышленники используют отдельную уязвимость нулевого дня в VPN-серверах Ivanti, которая обеспечивает доступ к сетям клиентов.
Компания по кибербезопасности Arctic Wolf сообщила в своем блоге на прошлой неделе, что ее исследователи наблюдали недавнюю кампанию «массовой эксплуатации», затронувшую брандмауэры Fortinet FortiGate с интерфейсами управления, доступными в общедоступный Интернет.
Стефан Хостетлер, ведущий исследователь угроз в Arctic Wolf, подтвердил TechCrunch, что наблюдаемая эксплуатация связана с недавно подтвержденной уязвимостью CVE-2024-55591 в межсетевых экранах Fortinet.
Хостетлер сообщил TechCrunch, что Arctic Wolf «наблюдал десятки вторжений, затронувших устройства Fortinet», но отмечает, что это представляет собой лишь «ограниченную выборку по сравнению с общим фактическим количеством устройств, которые, вероятно, были затронуты».
«Факты указывают на попытку эксплуатировать большое количество устройств в сжатые сроки», — добавил Хостетлер.
В беседе с TechCrunch представитель Fortinet Тиффани Курчи отказалась сообщить, сколько клиентов Fortinet было скомпрометировано в результате хакерской кампании, но заявила, что компания «активно общается с клиентами».
Также неясно, кто стоит за атаками на брандмауэры Fortinet, но исследователь кибербезопасности Кевин Бомонт пишет на Mastodon, что уязвимость «используется оператором программы-вымогателя».
Хостетлер сказал, что атаки программ-вымогателей, использующих эту ошибку, «не исключены», отметив, что в предыдущем исследовании Arctic Fox «наблюдала, что филиалы групп программ-вымогателей, таких как Akira и Fog, использовали некоторых из тех же сетевых провайдеров для установления VPN-подключения».
В кратком заявлении во вторник Управление кибербезопасности США CISA призвало клиентов Fortinet обновить все затронутые устройства.
В сентябре Fortinet сообщила об утечке данных клиентов после того, как злоумышленник получил доступ к «ограниченному количеству файлов», хранящихся на стороннем общем облачном диске, принадлежащем организации.
