Неизвестные злоумышленники использовали новые эксплойты, чтобы воспользоваться уязвимостью нулевого дня FortiOS, исправленной ранее в этом месяце. Атаки направлены на компьютеры с устаревшей версией ПО и нацелены в первую очередь на крупные правительственные организации по всему миру. Вредоносная операция приводит к повреждению операционной системы и потере данных.
7 марта компания Fortinet выпустила обновления для системы безопасности, чтобы устранить критическую уязвимость под идентификатором CVE-2022-41328 . Она позволяла злоумышленникам удалённо выполнять несанкционированный код в целевой системе.
В список уязвимых продуктов входят FortiOS следующих версий: 6.0, 6.2, 6.4.0-6.4.11, 7.0.0-7.0.9, 7.2.0-7.2.3. Системным администраторам необходимо обновить уязвимые версии FortiOS до актуальных (6.4.12, 7.0.10 и 7.2.4 соответственно).
В сообщении компании не упоминается, что уязвимость использовалась в дикой природе (ITW) до того, как были выпущены исправления. Однако отчёт Fortinet, опубликованный на прошлой неделе, показал, что эксплойты для CVE-2022-41328использовались с целью взлома и отключения нескольких брандмауэров FortiGate, принадлежащих одному из клиентов компании.
Последующее расследование показало, что злоумышленники модифицировали образ прошивки устройства для запуска полезной нагрузки прямо во время системной инициализации. Вредоносное ПО могло быть использовано также для кражи данных, загрузки и записи файлов или открытия удаленных оболочек.
Fortinet пришла к выводу, что атаки носили целенаправленный характер, а некоторые данные свидетельствуют о том, что злоумышленники отдавали предпочтение правительственным сетям. Злоумышленники также продемонстрировали “расширенные возможности”, в том числе перепроектирование частей операционной системы устройств FortiGate.
“Эксплойт требует глубокого понимания FortiOS и базового оборудования. Пользовательские имплантаты показывают, что злоумышленник обладает расширенными возможностями, включая реверс-инжиниринг различных частей FortiOS”.
Клиентам Fortinet рекомендуется немедленно перейти на пропатченную версию FortiOS, чтобы заблокировать возможные попытки атак.