Издание Bleeping Computer, со ссылкой на ИБ-исследователя, известного как Bank_Security, сообщает, что на хакерских форумах распространяют список однострочных эксплоитов для получения учетных данных от почти 50 000 устройств Fortinet VPN.
After a nslookup on all IPs, I found that among the victims there are some Banks, many .gov domains and thousands of companies around the world. https://t.co/F4o9xzjGJ4
— Bank Security (@Bank_Security) November 20, 2020
Автор списка проблемных устройств объясняет, что все они уязвимы перед багом CVE-2018-13379, который был исправлена разработчиками Fortinet еще в 2018 году, однако обновления до сих пор установили далеко не все. Используя эту уязвимость, удаленные и неаутенифицированные злоумышленники могут получить доступ к системным файлам с помощью специально подготовленных HTTP-запросов.
Опубликованные хакером однострочные эксплоиты, по сути, позволяют получить доступ к файлу sslvpn_websession (с целью кражи учетных данных). Похищенные таким образом данные затем могут быть использованы, например, для взлома сети компании и развертывания шифровальщиков.
Журналисты отмечают, что в списке злоумышленников можно обнаружить множество доменов, принадлежащих правительственным учреждениям, банкам и финансовым компаниям. По данным Bleeping Computer, таковых насчитывается более 400 из 49 577.
«Это старая и хорошо известная уязвимость, которую легко использовать. Злоумышленники уже давно ее эксплуатируют. Но, к сожалению, у компаний очень медленный процесс установки исправлений или они не контролируют свой сетевой периметр на предмет уязвимостей. Поэтому злоумышленники могут использовать такие баги для относительно простой компрометации компаний во всех секторах», — пишет Bank_Security.
После публикации данного материала с изданием связались специалисты Fortinet, которые сообщили журналистам, что компания повторно связалась со всеми клиентами и еще раз уведомила их об опасности и необходимости срочной установки исправлений.
