Мир боли для Fortinet и Zoho после того, как пользователи не установили исправления
Организации по всему миру в очередной раз осознают риски, связанные с отказом от установки обновлений безопасности, поскольку многочисленные злоумышленники стремятся использовать две недавно исправленные уязвимости, которые позволяют им заражать некоторые из наиболее важных частей защищенной сети.
Обе уязвимости имеют рейтинг серьезности 9,8 из 10 возможных и находятся в двух несвязанных продуктах, имеющих решающее значение для защиты больших сетей. Первая, отслеживаемая как CVE-2022-47966, представляет собой уязвимость удаленного выполнения кода перед аутентификацией в 24 отдельных продуктах производителя программного обеспечения Zoho, которые используют ManageEngine компании. Он исправлялся волнами с октября по ноябрь прошлого года. Вторая уязвимость, CVE-2022-39952, затрагивает продукт под названием FortiNAC, созданный компанией Fortinet, занимающейся кибербезопасностью, и был исправлен на прошлой неделе.
И ManageEngine, и FortiNAC считаются продуктами с нулевым доверием, что означает, что они работают при условии, что сеть была взломана, и постоянно отслеживают устройства, чтобы убедиться, что они не заражены или не действуют злонамеренно. Продукты с нулевым доверием не доверяют никаким сетевым устройствам или узлам в сети, а вместо этого активно работают над их безопасностью.
24 затронутых продукта Zoho
ManageEngine — это двигатель, на котором работает широкий спектр программного обеспечения и устройств для управления сетью от Zoho, выполняющих основные функции. Например, AD Manager Plus помогает администраторам настраивать и поддерживать Active Directory, службу Windows для создания и удаления всех учетных записей пользователей в сети и делегирования системных привилегий каждой из них. Password Manager Pro предоставляет централизованное цифровое хранилище для хранения всех данных паролей сети. Другие продукты, поддерживаемые ManageEngine, управляют рабочими столами, мобильными устройствами, серверами, приложениями и службами поддержки.
CVE-2022-47966 позволяет злоумышленникам удаленно выполнять вредоносный код, отправляя стандартный HTTP-запрос POST, который содержит специально созданный ответ с использованием языка разметки утверждений безопасности. (SAML, как его сокращенно называют, — это язык открытого стандарта, используемый поставщиками удостоверений и поставщиками услуг для обмена данными аутентификации и авторизации.) Уязвимость возникает из-за того, что Zoho использует устаревшую версию Apache Santuario для проверки подписи XML.
В январе, примерно через два месяца после того, как Zoho исправила уязвимость ManageEngine, охранная фирма Horizon3.ai опубликовала подробный анализ, который включал в себя код эксплойта для подтверждения концепции. В течение дня такие фирмы, занимающиеся безопасностью, как Bitdefender, начали наблюдать группу активных атак со стороны нескольких субъектов угроз, нацеленных на организации по всему миру, которые до сих пор не установили обновление для системы безопасности.
В некоторых атаках уязвимость использовалась для установки таких инструментов, как командная строка Netcat и, оттуда, программное обеспечение удаленного входа Anydesk. В случае успеха злоумышленники продают первоначальный доступ другим группам угроз. Другие атакующие группы использовали уязвимость для установки программ-вымогателей, известных как Buhti, инструментов постэксплуатации, таких как Cobalt Strike и RAT-el, а также вредоносных программ, используемых для шпионажа.
«Эта уязвимость является еще одним четким напоминанием о важности обновления систем с помощью последних исправлений безопасности, а также использования надежной защиты периметра», — пишут исследователи Bitdefender. «Злоумышленникам не нужно искать новые эксплойты или новые методы, когда они знают, что многие организации уязвимы для старых эксплойтов, отчасти из-за отсутствия надлежащего управления исправлениями и управления рисками».
Представители Zoho не ответили на электронное письмо с просьбой прокомментировать этот пост.
FortiNAC под «массированной» атакой
Тем временем CVE-2022-39952 находится в FortiNAC, решении для управления доступом к сети, которое идентифицирует и отслеживает каждое устройство, подключенное к сети. Крупные организации используют FortiNAC для защиты сетей операционных технологий в промышленных системах управления, ИТ-устройствах и устройствах Интернета вещей. Класс уязвимости, известный как внешний контроль имени файла или пути, позволяет злоумышленникам, не прошедшим проверку подлинности, записывать произвольные файлы в систему и оттуда получать удаленное выполнение кода, работающего с неограниченными привилегиями root.
Fortinet исправила уязвимость 16 февраля, и через несколько дней исследователи из нескольких организаций сообщили, что она активно используется. Предупреждения поступали от организаций или компаний, в том числе теневой сервер, Кронап и Грейнойз. И снова Horizon3.ai провел подробное исследование, в котором проанализировал причину уязвимости и то, как ее можно использовать в качестве оружия.
«Мы начали обнаруживать массовую установку Webshell (бэкдоров) для последующего доступа к скомпрометированным устройствам», — пишут исследователи из Cronup.
Уязвимость используется несколькими злоумышленниками, пытающимися установить различные веб-оболочки, которые предоставляют злоумышленникам текстовое окно, через которое они могут удаленно вводить команды.
В сообщении в блоге, опубликованном в четверг, технический директор Fortinet Карл Виндзор сказал, что компания регулярно проводит внутренние проверки безопасности, чтобы найти ошибки безопасности в своих продуктах.
«Важно, что именно во время одного из этих внутренних аудитов команда Fortinet PSIRT сама идентифицировала эту уязвимость удаленного выполнения кода», — написал Виндзор. «Мы немедленно исправили и опубликовали этот вывод в рамках нашего февральского бюллетеня PSIRT. (Если вы не подписаны на наши бюллетени, мы настоятельно рекомендуем зарегистрироваться, используя один из методов, описанных здесь). Политика Fortinet PSIRT уравновешивает нашу культуру прозрачности с нашими обязательствами. для безопасности наших клиентов».
В последние годы несколько продуктов Fortinet подверглись активной эксплуатации. В 2021 году злоумышленники, пытавшиеся получить доступ к нескольким государственным, коммерческим и технологическим службам, использовали три уязвимости в FortiOS VPN от Fortinet — две были исправлены в 2019 году и одна год спустя. В декабре прошлого года неизвестный злоумышленник воспользовался другой критической уязвимостью в FortiOS SSL-VPN, чтобы заразить правительство и организации, связанные с государством, передовым специализированным вредоносным ПО. Fortinet незаметно исправила уязвимость в конце ноября, но не раскрывала ее до тех пор, пока не начались атаки в дикой природе. Компания еще не объяснила, почему и какова ее политика в отношении раскрытия уязвимостей в своих продуктах.
Атаки последних лет показывают, что продукты безопасности, предназначенные для защиты сетей от злоумышленников, могут быть обоюдоострым мечом, который может быть особенно опасным, когда компании не раскрывают их или, в последнее время, клиенты не устанавливают обновления. Любой, кто администрирует или наблюдает за сетями, использующими ManageEngine или FortiNAC, должен немедленно проверить, не уязвимы ли они. Приведенные выше исследовательские посты предоставляют множество индикаторов, которые люди могут использовать, чтобы определить, стали ли они целью.
