Célkeresztbe került a Fortinet VPN

​Egyre több támadás éri azokat a Fortinet VPN eszközöket, amelyekre az üzemeltetők nem telepítették a frissítéseket.
 

A múlt héten az FBI és a CISA (Cybersecurity and Infrastructure Security Agency) is arra hívta fel a figyelmet, hogy mind több APT-típusú támadást észlelnek a Fortinet VPN ellen. Az elkövetők különösen a CVE-2018-13379 azonosítójú sebezhetőséget igyekeznek a saját javukra fordítani, és ezen keresztül különféle károkozásokat végrehajtani. A figyelmeztetés nem volt alaptalan, hiszen egy olyan kártékony programra is fény derült, amely komoly kockázatot jelent azon rendszerekre, hálózatokra nézve, amikben nem patch-elt Fortinet VPN technológia is használatos.
 
A Cring névre keresztelt zsarolóvírust még januárban fedezte fel a Swisscom CSIRT csapata. Akkor már lehetett tudni, hogy a Cring alapvetően a Mimikatz lehetőségeire épít, hogy hozzáférési adatokat szerezzen, de kihasználja a Windows CertUtil eszközének funkcionalitását is. A múlt héten pedig a Kaspersky jelezte, hogy a Cring legújabb variánsa célkeresztbe állította a Fortinet VPN (CVE-2018-13379) sebezhetőségét, és azon keresztül próbál hozzáférni hálózatokhoz. Sajnos nem is sikertelenül, ugyanis több - elsősorban ipari - vállalatnál okozott már fennakadásokat. Egyik esetben a gyártás átmeneti leállítását is el kellett rendelni a fertőzés miatt.
 
Ha a Cring egy sebezhető Fortinet eszközön keresztül bejut a hálózatba, akkor ott a Mimikatz, különféle PowerShell scriptek, valamint a CobaltStrike használatával elkezd rendszereket felkutatni, amelyeken fájlokat titkosít. A károkozó RSA-8192 és AES-128 titkosítási eljárásokat használ, miközben megpróbálja törölni a biztonsági mentéseket, és leállítja az Oracle, valamint az Office alkalmazásokat annak érdekében, hogy a zárolt fájlokhoz is hozzáférhessen. Ezt követően megzsarolja az áldozatául eső szervezetet.