Gli hacker prendono di mira attivamente le organizzazioni governative con malware e trojan, sfruttando le vulnerabilità note nei dispositivi VPN Fortinet (si apre in una nuova scheda).
Questo secondo la stessa Fortinet, che ha emesso un avviso di sicurezza all'inizio di questa settimana esortando gli utenti ad applicare immediatamente la patch. Il difetto è identificato come CVE-XNUMX-XNUMX ed è descritto come overflow del buffer basato su heap in FortiOS SSLVPN. Consenti agli abusatori di piantare il fragile punto fermo e di usarlo per ottenere funzionalità di esecuzione di codice remoto (RCE).
La patch è uscita dalla fine di novembre dello scorso anno. FortiOS XNUMX risolve il problema.
attacchi altamente mirati
Non è la prima volta che Fortinet invita gli utenti ad applicare questa specifica patch; allo stesso modo ha emesso un avviso a metà dicembre XNUMX. Questa volta, Fortinet ha avvertito i propri clienti del servizio che il difetto veniva utilizzato per incorporare una versione Trojan del motore PIS. .
"La difficoltà dell'exploit suggerisce un attore che è avanzato e sta prendendo di mira obiettivi governativi o legati al governo", afferma l'avvertimento. "Il campione di Windows scoperto e attribuito all'aggressore mostrava strumenti compilati su una macchina nel fuso orario UTC+8, che include Australia, Cina, Russia, Singapore e altri paesi di zavorra asiatici".
gli attori delle minacce fanno tutto il possibile per garantire che rimangano nascosti dopo che il dispositivo è stato compromesso.
Alcuni dei malware installati in FortiOS correggono il processo di registro, consentendo agli aggressori di rimuovere voci di registro specifiche e quindi cancellare qualsiasi prova della loro esistenza. Oltre a questo, hanno installato malware che danneggia anche il sistema di prevenzione delle intrusioni (IPS) degli endpoint.
"Il malware corregge i processi del registro FortiOS per manipolare il registro ed eludere il rilevamento", ha affermato Fortinet. "Il malware può manipolare i file di registro. Cerca i file elog, che sono i registri degli eventi di FortiOS. Dopo averli decompressi in memoria, cerca una stringa dettagliata dall'attaccante, la elimina e ricostruisce i registri."
Il modo migliore per proteggere le tue installazioni da questi attacchi è assicurarti che il tuo FortiOS sia aggiornato.
Via: BleepingComputer (si apre in una nuova scheda)