March 23, 2023


Fortinet

Pelaku ancaman menargetkan peralatan Fortinet yang terpapar Internet dengan eksploit yang menargetkan CVE-2022-39952, kerentanan manipulasi jalur file yang tidak diautentikasi di server web FortiNAC yang dapat disalahgunakan untuk eksekusi perintah jarak jauh.

Serangan ini terjadi satu hari setelah peneliti keamanan Horizon3 merilis kode eksploit proof-of-concept untuk cacat kritis-keparahan yang akan menambahkan tugas cron untuk memulai shell terbalik pada sistem yang disusupi sebagai pengguna root.

Fortinet mengungkapkan kerentanan dalam penasihat keamanan pada hari Kamis, mengatakan bahwa bug tersebut memengaruhi beberapa versi solusi kontrol akses jaringan FortiNAC dan memungkinkan penyerang untuk mengeksekusi kode atau perintah yang tidak sah setelah eksploitasi berhasil.

Perusahaan telah merilis pembaruan keamanan dan mendesak pelanggan untuk memutakhirkan peralatan yang rentan ke versi terbaru yang tersedia untuk mengatasi kerentanan tersebut.

Karena Fortinet belum memberikan panduan atau solusi mitigasi, memperbarui adalah satu-satunya cara untuk menggagalkan upaya serangan.

Tim Serangan Horizon3 Tweet FortinNAC

Penyerang telah mulai menargetkan peralatan FortiNAC yang belum ditambal dengan eksploitasi CVE-2022-39952, seperti yang pertama kali ditemukan oleh peneliti keamanan di Shadowserver Foundation pada hari Selasa.

“Kami melihat upaya eksploitasi Fortinet FortiNAC CVE-2022-39952 dari beberapa IP di sensor honeypot kami,” kata Piotr Kijewski dari Shadowserver.

Temuan mereka dikonfirmasi oleh para peneliti di perusahaan keamanan siber GreyNoise Dan CronUp pada hari Rabu setelah melihat serangan CVE-2022-39952 dari beberapa alamat IP.

Peneliti keamanan CronUp Germán Fernández mengungkapkan dalam sebuah laporan bahwa mereka “mengamati eksploitasi besar-besaran perangkat Fortinet FortiNAC melalui kerentanan CVE-2022-39952.”

“Kerentanan ini sangat penting dan kunci dalam ekosistem Keamanan Siber, karena pada awalnya, kerentanan ini memungkinkan akses awal ke jaringan perusahaan,” kata Fernández.

Aktivitas jahat yang diamati saat menganalisis serangan yang sedang berlangsung ini cocok dengan kemampuan eksploitasi PoC Horizon3, dengan CronUp melihat pelaku ancaman menggunakan pekerjaan jagung untuk membuka cangkang terbalik ke alamat IP penyerang.

CVE-2022-39952 mengeksploitasi payload
CVE-2022-39952 mengeksploitasi payload (CronUp)

Pada bulan Desember, Fortinet memperingatkan pelanggan untuk menambal peralatan SSL-VPN FortiOS terhadap bug keamanan yang dieksploitasi secara aktif (CVE-2022-42475) yang memungkinkan eksekusi kode jarak jauh yang tidak diautentikasi pada perangkat yang rentan.

Seperti yang kemudian diungkapkan perusahaan, cacatnya juga dieksploitasi sebagai hari nol dalam serangan terhadap organisasi pemerintah dan target terkait pemerintah.

Dua bulan sebelumnya, perusahaan juga mendesak admin untuk segera menambal kerentanan bypass autentikasi FortiOS, FortiProxy, dan FortiSwitchManager yang kritis (CVE-2022-40684) yang dieksploitasi secara liar.



Leave a Reply

Your email address will not be published. Required fields are marked *