FBI vydáva bleskové upozornenie na aktívne využívanú chybu FatPipe VPN Zero-Day

Americký Federálny úrad pre vyšetrovanie (FBI) zverejnil, že neidentifikovaný aktér hrozby využíva predtým neznámu slabinu sieťových zariadení FatPipe MPVPN prinajmenšom od mája 2021, aby získal počiatočnú oporu a udržal trvalý prístup do zraniteľných sietí. Najnovšia spoločnosť, ktorá sa pripojila k Cisco, Fortinet, Citrix, Pulse Secure, ktorých systémy boli zneužité vo voľnej prírode.

“Zraniteľnosť umožnila aktérom APT získať prístup k neobmedzenej funkcii nahrávania súborov, aby spustili webový shell na zneužívanie s root prístupom, čo viedlo k zvýšeným privilégiám a potenciálnej následnej aktivite,” uviedla agentúra vo varovaní zverejnenom tento týždeň. “Využitie tejto zraniteľnosti potom slúžilo ako odrazový bod do inej infraštruktúry pre aktérov APT.”

Inými slovami, zraniteľnosť zero-day umožňuje vzdialenému útočníkovi nahrať súbor na ľubovoľné miesto v súborovom systéme na postihnutom zariadení. Chyba zabezpečenia ovplyvňuje webové rozhranie správy klastrovania smerovačov FatPipe WARP, MPVPN a IPVPN a zariadení na vyrovnávanie zaťaženia VPN, na ktorých je spustený softvér pred vydaním najnovšej verzie 10.1.2r60p93 a 10.2.2r44p1.

FBI vo svojom bleskovom upozornení poznamenala, že aktér hrozby využil webový shell na bočný pohyb a zaútočil na ďalšiu infraštruktúru USA nastavením zákernej služby SSH, po ktorej nasledovalo množstvo krokov určených na skrytie prienikov a ochranu ich zneužitia. kým to nebude znova potrebné.

V nezávislom bulletine (FPSA006) FatPipe uviedol, že chyba pramení z nedostatku mechanizmu overovania vstupu pre špecifické požiadavky HTTP, čo umožňuje útočníkovi zneužiť problém odoslaním špeciálne upravenej požiadavky HTTP na postihnuté zariadenie. Aj keď neexistujú žiadne riešenia, ktoré by riešili chybu, spoločnosť uviedla, že ju možno zmierniť zakázaním prístupu UI a SSH na rozhraní WAN alebo konfiguráciou zoznamov prístupových práv tak, aby umožňovali prístup iba z dôveryhodných zdrojov.