Предупреждение на ФБР: Този нулев ден софтуерен недостатък беше използван от APT хакери

Сподели
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

ФБР предупреди, че усъвършенствана група нападатели са използвали недостатък от нулев ден в марка софтуер за виртуални частни мрежи (VPN) от май.

ФБР заяви своя криминалистичен анализ показа, че експлоатацията на уязвимостта нулев ден в софтуера FatPipe WARP, MPVPN и IPVPN от група за напреднали постоянни заплахи (APT) се е върнала поне до май 2021 г. Не предоставя никаква допълнителна информация за самоличността на групата.

Уязвимостта позволи на нападателите да получат достъп до функция за неограничено качване на файлове, за да пуснат уеб обвивка за експлоатационна активност с root достъп, което води до повишени привилегии и потенциална последваща дейност, каза ФБР, отбелязвайки: „Експлоатация на тази уязвимост след това служи като отправна точка в друга инфраструктура за участниците в APT.”

ВИЖТЕ: Печеливша стратегия за киберсигурност (специален доклад на ZDNet)

ФБР заяви, че уязвимостта засяга целия софтуер за устройства FatPipe WARP, MPVPN и IPVPN преди последните версии на версиите 10.1.2r60p93 и 10.2.2r44p1.

Той предупреждава, че откриването на експлоатационна дейност може да бъде трудно, тъй като в повечето случаи са открити скриптове за почистване, предназначени да премахнат следи от дейността на нападателите.

„Организациите, които идентифицират каквато и да е дейност, свързана с тези индикатори за компромис в рамките на техните мрежи, трябва да предприемат действия незабавно“, се казва в сигнал от ФБР.

„ФБР настоятелно призовава системните администратори незабавно да надстроят своите устройства и да следват други препоръки за сигурност на FatPipe, като деактивиране на UI и SSH достъп от WAN интерфейса (външно обърнат), когато не го използват активно.“

FatPipe има своя собствена съвет FPSA006, който отбелязва: „Уязвимост в интерфейса за уеб управление на софтуера FatPipe може да позволи на отдалечен нападател да качи файл на всяко място във файловата система на засегнато устройство.

„Уязвимостта се дължи на липса на механизми за въвеждане и проверка на валидност за определени HTTP заявки на засегнато устройство. Нападателят може да използва тази уязвимост, като изпрати модифицирана HTTP заявка до засегнатото устройство.“

Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com


Сподели
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •