Il Federal Bureau of Investigation degli Stati Uniti ha emesso un flash warning giovedì sullo sfruttamento delle vulnerabilità di Fortinet da parte di gruppi di minacce persistenti avanzate (APT).
Secondo l’FBI, un gruppo di attori APT ha “quasi certamente” sfruttato un’appliance FortiGate almeno dal maggio 2021 per accedere a un server web che ospita il dominio per un governo municipale degli Stati Uniti.
Gli attori APT potrebbero aver stabilito nuovi account utente su controller di dominio, server, workstation e directory attive per aiutarli a svolgere attività dannose sulla rete.
“Alcuni di questi account sembrano essere stati creati per sembrare simili ad altri account esistenti sulla rete, quindi i nomi di account specifici possono variare a seconda dell’organizzazione”, ha affermato l’FBI. Tuttavia, i federali hanno avvertito le organizzazioni di prestare attenzione agli account creati con i nomi utente “elie” o “WADGUtilityAccount”.
Una volta all’interno di una rete, gli attori APT possono condurre l’esfiltrazione dei dati, la crittografia dei dati o altre attività dannose.
L’avviso arriva appena un mese dopo che l’FBI e la Cybersecurity and Infrastructure Security Agency (CISA) hanno avvertito che gli attori APT avevano ottenuto l’accesso ai dispositivi sulle porte 4443, 8443 e 10443 per Fortinet FortiOS CVE-2018-13379 e dispositivi enumerati per FortiOS CVE-2020-12812 e FortiOS CVE-2019-5591.
L’attività criminale informatica sembra essere incentrata sullo sfruttamento di particolari vulnerabilità piuttosto che su settori specifici, poiché è stato osservato che gli attori dell’APT prendono di mira attivamente un’ampia gamma di vittime in più settori.
“Il fatto che continuiamo a vedere queste vulnerabilità legacy sfruttate nonostante questi avvisi è un avvertimento che i difetti senza patch rimangono uno strumento prezioso per i gruppi APT e i criminali informatici in generale”, ha commentato Satnam Narang, ingegnere di ricerca del personale di Tenable.
Hanno aggiunto: “Le vulnerabilità senza patch, non gli zero-day, sono oggi la più grande minaccia per la maggior parte delle organizzazioni perché portano gli aggressori al loro obiettivo finale nel modo più rapido ed economico. È imperativo che sia il settore pubblico che le organizzazioni private che utilizzano SSL FortiGate VPN applica immediatamente queste patch per prevenire futuri compromessi”.
Narang ha affermato che il rischio rappresentato da vulnerabilità prive di patch è stato ulteriormente aggravato dall’ampio passaggio della forza lavoro al lavoro a distanza nell’ultimo anno.