di Pierguido Iezzi

FBI e CISA: APT stanno sfruttando tre vulnerabilità di sicurezza della VPN SSL Fortinet per accedere a reti informatiche ed effettuare attività di ricognizione dei sistemi

Tre vulnerabilità di sicurezza presenti nella VPN SSL Fortinet sono state sfruttate dal cybercrime per ottenere accesso a reti informatiche ed effettuare movimenti laterali per svolgere attività di ricognizione nel sistema stesso. FBI e Cybersecurity and Infrastructure Security Agency (CISA) statunitense hanno dichiarato pubblicamente che alcune APT (advanced persistent threat), hacker di stato, stanno sfruttando le vulnerabilità del sistema operativo Fortinet FortiOS che coinvolgono anche il prodotto VPN aziendale.

Come funzionano gli attachi dei threat actors

Secondo i dati pubblicati, i cyber aggressori effettuano scansioni alle porte 4443, 8443 e 10443 alla ricerca di implementazioni di sicurezza Fortinet sprovviste di patch. Probabilmente le APT effettuano tale scansione al fine di ottenere l’accesso a reti informatiche di enti governativi e aziende commerciali. Negli ultimi anni, questi gruppi, denominati APT proprio per l’alto potenziale di dannosità e il “radicamento” profondo, hanno sfruttato vulnerabilità critiche per portare offensive DDoS (distributed denial-of-service), attacchi ransomware, iniezioni SQL, campagne di spear-phishing, spoofing dei siti web e campagne di disinformazione. Gli aggressori stanno mettendo nel mirino applicazioni esterne di valore critico con una frequenza sempre superiore, ancora maggiore rispetto al record fatto registrare lo scorso anno. E, all’interno di un contesto aziendale, con la quasi totalità dei lavoratori in smart working, un’applicazione VPN è davvero cruciale.

Cosa hanno ottenuto le APT

Le tre vulnerabilità di Fortinet VPN hanno permesso agli aggressori di ottenere credenziali di accesso valide, aggirare sistemi di autenticazione a più fattori (MFA) e intercettare il traffico in ingresso con attacchi “man-in-the-middle” (MITM) per sottrarre login e password. Una volta ottenuto l’accesso, questi verranno considerati identici agli utenti normali. Se poi si considera la quota di mercato detenuta da Fortinet, si può intuire perché queste vulnerabilità siano molto invitanti per diverse organizzazioni criminali. Sebbene l’FBI e la CISA non abbiano specificato quali APT siano responsabili dell’attività recente, è stato comunque pubblicato un report completo sulla procedura d’attacco.

Dalla ricognizione al furto di dati

Una volta ottenuto l’accesso nel sistema informatico, i threat actors si muovono lateralmente e svolgono un’attività di ricognizione. L’accesso iniziale potrebbe essere susseguente allo sfruttamento di una sola o di più vulnerabilità insieme, con l’obiettivo di entrare nelle reti di aziende attive in settori di valore critico-infrastrutturale e sottrarre dati o criptarli per poi chiedere un riscatto. Questo, peraltro, potrebbe essere ottenuto anche attraverso altre tecniche, come campagne di spear-phishing.

Quello di Fortinet è solo l’ultimo caso di vulnerabilità delle VPN sfruttate dal cybercrime e dalle APT

La nota congiunta rilasciata dall’FBI e dalla CISA è solo l’ultima di una sequela di note, simili per certi versi alle “grida manzoniane” che avevano e hanno l’obiettivo di sensibilizzare i lettori rispetto a temi importanti relativi alla cybersecurity. Ad esempio, a ottobre era stato pubblicato un alert secondo il quale le APT avevano sfruttato vulnerabilità in sistemi VPN antiquati di Fortinet, Palo Alto Networks e Pulse Secure per porre in essere cyber attacchi su obiettivi internazionali. Con il passaggio massivo al lavoro da remoto e la crescente richiesta di VPN SSL come quella di Fortinet, la superficie d’attacco è aumentata considerevolmente e il numero di target sensibili è cresciuto in parallelo. Le organizzazioni dovrebbero prendere seriamente tali indicazioni e porre l’accento sull’importanza del patching, con estrema urgenza nel caso si faccia uso di VPN Fortinet.

Come proteggere la mia rete dai cyberattacchi?

La FBI e la CISA suggeriscono una serie di best practice da implementare per ridurre la pericolosità di questi e altri attacchi:

• Installare subito le patch (in particolare quelle relative alle CVE 2018-13379, 2020-12812 e 2019-5591).
• Se nella tua azienda non viene usato FortiOS, è consigliabile aggiungere file (denominati key artifact files) utilizzati dal sistema operativo alla lista di file che non possono essere eseguiti nel sistema informatico aziendale.
• Effettuare backup regolari dei dati e copie offline protette da password. Le copie di dati critici non devono poter essere modificate o eliminate dal sistema primario in cui si trovano i dati.
• Implementare la segmentazione di rete.
• Prevedere un recovery plan per ripristinare dati sensibili o proprietà intellettuali da una posizione separata, sicura e segmentata (ad es. hard drive, device di storage device, su cloud).
• Installare aggiornamenti e patch su sistemi operativi, software e firmware non appena queste vengono rese disponibili o pubblicate.
• Utilizzare sistemi di autenticazione multi fattore ove possibile.
• Cambiare regolarmente le password nei sistemi e negli account di rete, evitando di utilizzare la stessa password su diversi account. Implementare procedure automatizzate e cadenzate per il rinnovamento delle password
• Disattivare le porte non utilizzate relative a sistemi di accesso da remoto o Remote Desktop Protocol (RDP) e monitorare l’accesso attraverso i relativi log.
• Controllare account con privilegi da admin e configurare i controlli su tali accessi.
• Installare e aggiornare regolarmente programmi antivirus e software anti-malware.
• Considerare l’implementazione di un banner e-mail alle email ricevute da indirizzi esterni al perimetro aziendale.
• Disattivare gli hyperlink nelle email in arrivo.

Non abbassiamo la guardia!

La dichiarazione di Fortinet

Fortinet, a seguito della pubblicazione dell’articolo, ci ha inviato una dichiarazione. Ecco il testo completo: “La sicurezza dei nostri clienti è la nostra prima priorità. Ad esempio, la CVE-2018-13379 è una vecchia vulnerabilità risolta a maggio 2019. Fortinet ha immediatamente emesso un avviso PSIRT e comunicato direttamente con i clienti e tramite post sul blog aziendale in più occasioni nell’agosto 2019, luglio 2020 e di nuovo nell’aprile 2021, raccomandando vivamente un aggiornamento. In seguito alla risoluzione, abbiamo costantemente comunicato con i clienti nell’aprile 2021. Per ulteriori informazioni, visitate il nostro blog e fate immediatamente riferimento all’advisory di maggio 2019. Se i clienti non lo hanno fatto, li esortiamo a implementare immediatamente l’aggiornamento e le mitigazioni “.