FBIとCISAは、APTがパッチが適用されていないフォーティネットの脆弱性を悪用していることを警告します

FBIと国土安全保障省のサイバーセキュリティおよびインフラストラクチャセキュリティエージェンシー（CISA）の共同声明によると、国際的なAdvanced Persistent ThreatsまたはAPTは現在、技術サービスプロバイダー、政府機関、および民間セクターに属するフォーティネットFortiOSプラットフォームのパッチが適用されていない脆弱性を悪用しています。エンティティ。

APTは、2019年に最初に発見された欠陥CVE-2018-13379、CVE-2020-12812、およびCVE-2019-5591に磨きをかけました。この最新のハッキングキャンペーンにより、攻撃者は侵入し、被害者のネットワークを待つことができます。将来のサイバー攻撃のために。

CVE-2018-13379は、フォーティネットFortiOS 6.0.0から6.0.4、5.6.3から5.6.7、および5.4.6から5.4.12プラットフォームに関連付けられており、 SSL仮想プライベートネットワーク（VPN）Webポータル。

この欠陥が悪用されると、攻撃者は特別に細工されたHTTPリソースリクエストを介してシステムファイルをダウンロードできるようになります。 以前のCISAアラートの1つは、エクスプロイトが脆弱なシステムを介してパスワードを公開する可能性があると述べています。

脆弱性はどのように悪用されていますか？

この脆弱性を悪用するには、ハッカーは最初にログインしたSSLVPNユーザーの資格情報を取得する必要があります。

以前のハッキングキャンペーンでは、サイバー犯罪者は連鎖キャンペーンでこれらのセキュリティギャップを利用していました。ハッカーは、最初にフォーティネットFortiOSの脆弱性を利用して被害者のネットワークに侵入し、次に攻撃と重大なNetlogonの脆弱性CVE-2020-1472を組み合わせて、1回の侵害で特権を昇格させる必要があります。

これらの最新の攻撃で、米国のセキュリティ機関は、APTが現在ポート4443、8443、および10443でデバイスをスキャンして、CVE-2018-13379と、CVE-2020-12812およびCVE-2019-のデバイスを列挙していることを警告しました。 5591。

共同声明によると、脆弱性は通常、APTによって悪用され、DDoS攻撃、ランサムウェア、スピアフィッシング、SQLインジェクション攻撃、Webサイト改ざん、および情報漏えいキャンペーンを実行します。

このキャンペーン中、APTはフォーティネットの欠陥を利用して、複数の重要なインフラストラクチャセクターのネットワークアクセスを取得します。そのため、アラートは「後続のデータ漏洩またはデータ暗号化攻撃の事前配置」と呼ばれます。

声明によると、「APTアクターは、他のCVEまたはスピアフィッシングなどの一般的なエクスプロイト技術を使用して、重要なインフラストラクチャネットワークにアクセスし、後続の攻撃の事前配置を行う可能性があります」と述べています。

重要なインフラストラクチャエンティティは、フォーティネットソフトウェアアップデートをデバイスにすぐに適用することをお勧めします。

技術を採用していない組織は、プログラムとそのファイルをインストールまたは実行しようとする可能性を防ぐために、FortiOSキーアーティファクトファイルを実行拒否リストにすぐに追加する必要があります。

CISAとFBIはユーザーに何を推奨していますか？

米国の機関はさらに、ソフトウェアのインストールに管理者の資格情報を要求し、関連するすべてのエンドポイントに多要素認証を活用することを推奨しています。脆弱なテクノロジーをメインネットワークから分離し、パスワードで保護されたオフラインストレージサーバーにデータを定期的にバックアップするために、ネットワークセグメンテーションも強くお勧めします。

メッセージ内のハイパーリンクの無効化と外部電子メールのマーキングに加えて、フィッシング電子メールの識別と回避に基づく従業員の意識の向上と追加のトレーニングにも焦点を当てることをお勧めします。

FBIとCISAは、APTがパッチが適用されていないフォーティネットの脆弱性を悪用していることを警告しますスクリーンショット