FBI: FatPipe VPN Zero-Day Dieksploitasi oleh APT Selama 6 Bulan

Aktor ancaman
A telah mengeksploitasi kerentanan zero-day di perangkat jaringan pribadi virtual (VPN) FatPipe sebagai cara untuk menembus perusahaan dan mendapatkan akses ke jaringan internal mereka, setidaknya sejak Mei, FBI telah memperingatkan.

“Mulai November 2021 , analisis forensik FBI menunjukkan eksploitasi kerentanan 0-hari dalam perangkat lunak perangkat FatPipe MPVPN akan kembali ke setidaknya Mei 2021, ”kata biro itu dalam peringatan kilat (PDF) pada hari Selasa. perangkat lunak perangkat untuk produk redundansi WARP WAN FatPipe, perangkat pengelompokan router MPVPN, dan perangkat penyeimbang beban dan keandalan IPVPN untuk VPN. Produk adalah semua jenis server yang dipasang di perimeter jaringan dan digunakan untuk memberikan akses jarak jauh kepada karyawan ke aplikasi internal melalui internet, berfungsi sebagai gateway jaringan bagian, firewall bagian.

Menurut peringatan, cacat memungkinkan ancaman persisten lanjutan (APT) aktor untuk mengeksploitasi fungsi unggah file di firmware perangkat untuk menginstal webshell dengan akses root, yang menyebabkan peningkatan hak istimewa.

Mengeksploitasi kerentanan, yang belum memiliki nomor pelacakan CVE, memberi aktor APT kemampuan untuk menyebar secara lateral ke jaringan korban. FatPipe melacak kerentanan dengan tagnya sendiri, FPSA006, yang berisi tambalan dan saran keamanan yang dikeluarkan pada hari Selasa.

Kerentanan memengaruhi semua perangkat lunak perangkat WARP, MPVPN, dan IPVPN FatPipe sebelum rilis versi terbaru: 10.1.2r60p93 dan 10.2.2r44p1.

Exploit Memberikan Hak Admin Penyerang Jarak Jauh

FatPipe menjelaskan bahwa zero-day sebelumnya, yang ditemukan di antarmuka manajemen web dari firmware yang terpengaruh, dapat memungkinkan penyerang jarak jauh yang diautentikasi dengan hak baca-saja untuk mendongkrak hak istimewa mereka ke tingkat admin pada perangkat yang terpengaruh.

Cacat ini disebabkan oleh kurangnya mekanisme pemeriksaan input dan validasi untuk permintaan HTTP tertentu pada perangkat yang terpengaruh, kata FatPipe.

“Seorang penyerang dapat mengeksploitasi kerentanan ini dengan mengirimkan permintaan HTTP yang dimodifikasi ke perangkat yang terpengaruh,” menurut nasihat perusahaan. “Eksploitasi dapat memungkinkan penyerang sebagai pengguna hanya-baca untuk menjalankan fungsi seolah-olah mereka adalah pengguna administratif.”

Peringatan FBI menyertakan daftar indikator kompromi (IOC) dan tanda tangan malware YARA dan meminta organisasi untuk “segera mengambil tindakan. ” jika mereka mengidentifikasi aktivitas jaringan terkait.

FBI mendesak admin sistem untuk segera meningkatkan perangkat mereka dan mengikuti rekomendasi keamanan FatPipe lainnya, termasuk menonaktifkan akses UI dan SSH dari antarmuka WAN (menghadap ke luar) saat tidak menggunakannya secara aktif.

Bergabunglah dengan Crowd

Berita berarti bahwa FatPipe telah bergabung dengan klub yang tidak ingin menjadi bagian dari siapa pun: Liga pembuat peralatan jaringan dan VPN yang sistemnya telah dieksploitasi oleh penyerang cyber.

Sudah sampai pada titik di mana pemerintah merasa perlu untuk turun tangan. Pada bulan September, US National Security Agency (NSA) dan Cybersecurity and Infrastructure Security Agency (CISA) mengeluarkan panduan tentang pemilihan dan harde ning VPN, merekomendasikan cara memilih dan mengeraskan VPN untuk mencegah APT negara-bangsa dari mempersenjatai kelemahan dan CVE untuk masuk ke jaringan yang dilindungi. penjahat dengan kata sandi VPN lama) atau 87.000 (setidaknya) pelanggan Fortinet yang kredensialnya untuk SSL-VPN yang belum ditambal telah diposting online pada bulan September.

Seperti yang dijelaskan oleh penasihat pemerintah, mengeksploitasi CVE yang terkait dengan VPN dapat memungkinkan aktor jahat “mencuri kredensial, mengeksekusi kode dari jarak jauh, melemahkan kriptografi lalu lintas terenkripsi, membajak sesi lalu lintas terenkripsi, dan membaca data sensitif dari perangkat.”

Jika berhasil, pelaku ancaman bisa mendapatkan akses jahat lebih lanjut yang dapat mengakibatkan kompromi skala besar jaringan perusahaan.

Contoh terbaru dari aktor negara-bangsa yang mengincar VPN yang rentan datang pada bulan Mei, ketika Pulse Secure bergegas memperbaiki kerentanan keamanan zero-day yang kritis di i ts Hubungkan perangkat VPN Aman. Zero day itu dimanfaatkan oleh dua APT, kemungkinan terkait dengan China, yang menggunakannya untuk meluncurkan serangan siber terhadap target pertahanan, keuangan dan pemerintah AS, serta korban di Eropa.

Keamanan siber untuk lingkungan multi-cloud terkenal menantang. OSquery dan CloudQuery adalah jawaban yang solid. Bergabunglah dengan Uptycs dan Threatpost untuk “Pengantar OSquery dan CloudQuery,” Balai Kota sesuai permintaan dengan Eric Kaiser, insinyur keamanan senior Uptycs, dan cari tahu bagaimana alat sumber terbuka ini dapat membantu menjinakkan keamanan di seluruh kampus organisasi Anda.

Register SEKARANG untuk acara sesuai permintaan!
Tulis komentar
Bagikan artikel ini:

  • Kerentanan
  • Wagiman Wiryosukiro

    Petani Sistem Informasi, tukang las plugin & themes Wordpress. Co-Founder SistemInformasi.biz. Saat ini aktif sebagai Developer & kontributor di OpenMandriva Linux.

    You may also like...

    %d bloggers like this: