La Oficina Federal de Investigaciones (FBI) y la Agencia de Ciberseguridad y Seguridad en Infraestructura (CISA, por sus sustos) advierten que los actores de Advanced Persistent Threat (APT) están explotando vulnerabilidades en Fortinet FortiOS en ataques continuos contra redes comerciales, gubernamentales y de servicios tecnológicos.
Las dos agencias dijeron que en marzo de 2021 habían observado actores maliciosos escaneando dispositivos Fortinet FortiOS en los puertos 4443, 8443 y 10443 en intentos de explotar tres vulnerabilidades: CVE-2018-13379 (una vulnerabilidad de recorrido de ruta en el portal web VPN SSL de FortiOS), CVE-2020-12812 (un problema de autenticación incorrecto en FortiOS SSL VPN) y CVE-2019-5591 (un problema de autenticación incorrecto que afecta al servidor LDAP).
"Es probable que los actores de APT estén buscando estas vulnerabilidades para obtener acceso a múltiples redes gubernamentales, comerciales y de servicios tecnológicos. Los actores de APT han explotado históricamente vulnerabilidades críticas para llevar a cabo ataques distribuidos de denegación de servicio (DDoS), ataques de ransomware, ataques de inyección de lenguaje de consulta estructurado (SQL), campañas de spearphishing, desfiguraciones de sitios web y campañas de desinformación", según la alerta.
"Los actores de APT pueden estar utilizando cualquiera o todos estos CVE para obtener acceso a redes en múltiples sectores de infraestructura crítica para obtener acceso a redes clave como pre-posicionamiento para la exfiltración de datos de seguimiento o ataques de cifrado de datos. Los actores de APT pueden utilizar otros CVE o técnicas de explotación comunes, como spearphishing, para obtener acceso a redes de infraestructura crítica a la pre-posición para los ataques de seguimiento."
Para prevenir este tipo de ataques se recomienda a las organizaciones parchear inmediatamente los CVEs 2018-13379, 2020-12812 y 2019-5591, Realice copias de seguridad periódicas de datos, brechas de aire y contraseña para proteger copias de seguridad sin conexión, implementar segmentación de red, instalar actualizaciones/parches de sistemas operativos, software y firmware tan pronto como se publiquen actualizaciones/parches, deshabilitar los puertos de protocolo de escritorio remoto /Protocolo de Escritorio remoto (RDP) no utilizados y supervisar los registros rdp/acceso remoto, auditar cuentas de usuario con privilegios administrativos y configurar controles de acceso con menos privilegios en mente, cambiar regularmente las contraseñas a sistemas y cuentas de red y evitar la reutilización de contraseñas para diferentes cuentas.
https://www.ic3.gov/Media/News/2021/210402.pdf
