Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Fortinet

Fortinet

Fortinet mengatakan bug bypass auth kritis dieksploitasi dalam serangan

by

Fortinet telah mengkonfirmasi bahwa kerentanan keamanan bypass otentikasi kritis yang ditambal minggu lalu sedang dieksploitasi di alam liar.

Kelemahan keamanan (CVE-2022-40684) adalah bypass autentikasi pada antarmuka administratif yang memungkinkan pelaku ancaman jarak jauh untuk masuk ke firewall FortiGate, proxy web FortiProxy, dan FortiSwitch Manager (FSWM).

“Sebuah bypass otentikasi menggunakan jalur alternatif atau kerentanan saluran [CWE-288] di FortiOS, FortiProxy dan FortiSwitchManager memungkinkan penyerang yang tidak diautentikasi untuk melakukan operasi pada antarmuka administratif melalui permintaan HTTP atau HTTPS yang dibuat khusus,” kata Fortinet dalam sebuah advisory.

Perusahaan tersebut merilis pembaruan keamanan untuk mengatasi kelemahan ini pada hari Kamis. Mereka juga memperingatkan beberapa pelanggannya melalui email untuk menonaktifkan antarmuka pengguna manajemen jarak jauh pada perangkat yang terpengaruh “dengan sangat mendesak.”

Fortinet telah merilis security patch dan meminta pelanggan untuk memperbarui perangkat yang rentan ke FortiOS 7.0.7 atau 7.2.2 dan yang lebih baru, FortiProxy 7.0.7 atau 7.2.1 dan yang lebih baru, dan FortiSwitchManager 7.2.1 atau yang lebih baru untuk mempertahankan perangkat mereka dari serangan.

Fortinet juga memberikan informasi tentang bagaimana pelanggan dapat memblokir serangan yang masuk meskipun mereka tidak dapat segera memasang pembaruan keamanan.

Selengkapnya: Fortiguard | Bleeping Computer

Botnet EnemyBot DDoS baru merekrut router dan IoT ke dalam pasukannya

by

Malware botnet baru berbasis Mirai bernama Enemybot telah diamati mengembangkan pasukannya dari perangkat yang terinfeksi melalui kerentanan di modem, router, dan perangkat IoT, dengan aktor ancaman yang mengoperasikannya dikenal sebagai Keksec.

Kelompok ancaman khusus berspesialisasi dalam penambangan kripto dan DDoS; keduanya didukung oleh malware botnet yang dapat bersarang di perangkat IoT dan membajak sumber daya komputasinya.

Enemybot menampilkan string obfuscation sementara server C2-nya bersembunyi di balik node Tor, jadi memetakannya dan menghapusnya cukup menantang saat ini.

Saat perangkat terinfeksi, Enemybot memulai dengan menghubungkan ke C2 dan menunggu perintah untuk dieksekusi. Sebagian besar perintah terkait dengan serangan DDoS (distributed denial of service), tetapi malware tidak terbatas pada itu.

Lebih khusus lagi, Fortinet menyajikan serangkaian perintah yang didukung berikut ini:

ADNS – Lakukan serangan amplifikasi DNS
ARK – Lakukan serangan pada server game “ARK: Survival Evolved”
BLACKNURSE – Membanjiri target dengan pesan ICMP Destination Port Unreachable
Selengkapnya

Kode pemindai Enemybot dan Mirai dibandingkan (Fortinet)

Perintah yang menargetkan game ARK dan server OVH yang mungkin mengindikasikan kampanye pemerasan yang menargetkan perusahaan-perusahaan ini.

Selain itu, perintah LDSERVER memungkinkan pelaku ancaman mendorong URL baru untuk muatan guna mengatasi masalah apa pun di server unduhan. Itu penting karena sebagian besar botnet berbasis Mirai memiliki URL unduhan tetap dan hard-coded.

Enemybot menargetkan beberapa arsitektur, dari x86, x64, i686, darwin, bsd, arm, dan arm64 yang umum, hingga jenis sistem yang lebih langka dan usang seperti ppc, m68k, dan spc.

Binari terlihat di server unduhan yang terbuka
(Fortinet)

Dalam hal kerentanan yang ditargetkan, Fortinet telah melihat beberapa perbedaan dalam set antara varian sampel, tetapi tiga yang ada di mana-mana adalah:

CVE-2020-17456: Cacat eksekusi kode jarak jauh (RCE) kritis (CVSS 9.8) di router Seowon Intech SLC-130 dan SLR-120S.
CVE-2018-10823: Keparahan tinggi (CVSS 8.8) Cacat RCE mempengaruhi beberapa router D-Link DWR.
CVE-2022-27226: Tingkat keparahan tinggi (CVSS 8.8) injeksi cronjob sewenang-wenang yang memengaruhi router seluler iRZ.

Memodifikasi crontab pada perangkat target (Fortinet)

Kelemahan lain yang mungkin atau mungkin tidak ada di Enemybot tergantung pada variannya adalah:

CVE-2022-25075 hingga 25084: Serangkaian kelemahan yang menargetkan router TOTOLINK. Set yang sama juga dieksploitasi oleh botnet Beastmode.
CVE-2021-44228/2021-45046: Log4Shell dan kerentanan kritis berikutnya yang menargetkan Apache Log4j.
CVE-2021-41773/CVE-2021-42013: Menargetkan server HTTP Apache
CVE-2018-20062: Menargetkan ThinkPHP CMS
CVE-2017-18368: Menargetkan router Zyxel P660HN
CVE-2016-6277: Menargetkan router NETGEAR
CVE-2015-2051: Menargetkan router D-Link
CVE-2014-9118: Menargetkan router Zhone
Eksploitasi NETGEAR DGN1000 (Tidak ada CVE yang ditetapkan): Menargetkan router NETGEAR

Untuk mencegah Enemybot atau botnet selalu terapkan pembaruan perangkat lunak dan firmware terbaru yang tersedia untuk produk Anda.

Jika router Anda menjadi tidak responsif, kecepatan internet turun, dan memanas lebih dari biasanya, Anda mungkin terinfeksi malware botnet.

Dalam hal ini, lakukan hard reset manual pada perangkat, masuk ke panel manajemen untuk mengubah kata sandi admin, dan terakhir instal pembaruan terbaru yang tersedia langsung dari situs web vendor.

Selengkapnya : Bleeping Computer

Pemerintah Memperingatkan Iran Menargetkan Kelemahan Microsoft dan Fortinet untuk Menanam Ransomware

by

Badan keamanan siber AS, Inggris, dan Australia mendesak organisasi infrastruktur untuk menambal kerentanan dalam produk Microsoft dan Fortinet yang menurut mereka digunakan peretas yang terkait dengan Iran dalam serangan ransomware.

“FBI dan CISA telah mengamati bahwa kelompok APT (Advanced Persistent Threat) yang disponsori pemerintah Iran ini mengeksploitasi kerentanan Fortinet setidaknya sejak Maret 2021 dan kerentanan Microsoft Exchange ProxyShell setidaknya sejak Oktober 2021 untuk mendapatkan akses awal ke sistem sebelum operasi lanjutan, yang termasuk menyebarkan ransomware,” ungkap nasihat yang dikeluarkan bersama oleh agensi pada hari Rabu.

Aktivitas siber Iran sebelumnya lebih terkait erat dengan permainan kekuatan regional dan tujuan geopolitiknya. Para pejabat memperkirakan operasi spionase dan bersiap untuk serangan balasan setelah pemerintahan Trump menarik diri dari perjanjian nuklir yang ditengahi oleh Presiden Barack Obama dan membunuh seorang jenderal top Iran, misalnya. Tetapi September lalu, FBI dan CISA memperingatkan bahwa Iran kemungkinan akan mulai menggunakan kemampuan mereka untuk memperbaiki situasi keuangannya melalui operasi ransomware.

“Aktor APT yang disponsori pemerintah Iran secara aktif menargetkan berbagai korban di berbagai sektor infrastruktur penting AS, termasuk Sektor Transportasi dan Sektor Kesehatan dan Kesehatan Masyarakat, serta organisasi Australia,” bunyi nasihat itu. “FBI, CISA, [Pusat Keamanan Siber Australia] dan [Pusat Keamanan Siber Nasional Inggris] menilai para pelaku berfokus pada eksploitasi kerentanan yang diketahui daripada menargetkan sektor tertentu.”

Kerentanan Fortinet dan Microsoft Exchange yang ditandai di penasihat semuanya terdaftar dalam katalog ratusan kerentanan yang diketahui sedang dieksploitasi secara aktif. CISA merilis katalog tepat dua minggu lalu bersama dengan arahan operasional yang mengikat dan tenggat waktu untuk menambalnya.

Selengkapnya: Nextgov

Fortinet Ditargetkan untuk Aktivitas SSL VPN Discovery yang Belum Ditambal

by

Guy Bruneau, seorang peneliti keamanan, telah mengamati aktivitas pemindaian untuk menemukan layanan FortiGate SSL VPN yang belum ditambal selama 60 hari terakhir.

Sebenarnya, Fortinet telah memperbaiki beberapa kerentanan kritis di SSL VPN dan firewall web tahun ini dari Remote Code Execution (RCE) hingga SQL Injection, Denial of Service (DoS) yang berdampak pada produk FortiProxy SSL VPN dan FortiWeb Web Application Firewall (WAF), namun beberapa pengguna masih belum menerapkan pembaruan tersebut.

Tidak menerapkan pembaruan akan berdampak pada pelanggaran keamanan yang serius, karena seperti yang diungkapkan oleh Bruneau, penyerang sudah mulai memindai internet untuk menemukan layanan FortiGate SSL VPN yang belum ditambal.

US-CERT juga sudah merilis peringatan yang menyatakan bahwa aktor APT mencari kerentanan Fortinet untuk mendapatkan akses ke jaringan korban. Dengan adanya penemuan dari Bruneau ini, pengguna dianjurkan untuk menerapkan pembaruan sesegera mungkin.

ISC SANS

FBI: APT Secara Aktif Memanfaatkan Lubang Keamanan VPN Fortinet

by

FBI dan Cybersecurity and Infrastructure Security Agency (CISA) memperingatkan bahwa pelaku negara-bangsa ancaman persisten tingkat lanjut (APT) secara aktif mengeksploitasi kerentanan keamanan yang diketahui dalam sistem operasi keamanan siber Fortinet FortiOS, yang memengaruhi produk SSL VPN perusahaan tersebut.

Menurut peringatan yang dikeluarkan hari Jumat oleh FBI dan CISA, penyerang siber memindai perangkat di port 4443, 8443, dan 10443, mencari implementasi keamanan Fortinet yang belum ditambal. Secara khusus, APT mengeksploitasi kerentanan CVE-2018-13379, CVE-2019-5591 dan CVE-2020-12812.

Bug yang dilacak sebagai CVE-2018-13379 adalah masalah jalur-traversal di Fortinet FortiOS, di mana portal web SSL VPN memungkinkan penyerang yang tidak terautentikasi mengunduh file sistem melalui permintaan sumber daya HTTP yang dibuat secara khusus.

Cacat CVE-2019-5591 adalah kerentanan konfigurasi default di FortiOS yang memungkinkan penyerang tidak terautentikasi pada subnet yang sama mencegat informasi sensitif dengan meniru identitas server LDAP.

Dan terakhir, CVE-2020-12812 adalah kerentanan otentikasi yang tidak tepat di SSL VPN di FortiOS, yang memungkinkan pengguna untuk berhasil masuk tanpa dimintai faktor kedua dari otentikasi (FortiToken) jika mereka mengubah kasus nama pengguna mereka.

“Penyerang semakin menargetkan aplikasi eksternal yang penting – VPN semakin menjadi sasaran tahun lalu,” kata Zach Hanley, red team engineer senior di Horizon3.AI, melalui email. “Ketiga kerentanan yang menargetkan Fortinet VPN ini memungkinkan penyerang mendapatkan kredensial yang valid, melewati otentikasi multifaktor (MFA), dan lalu lintas otentikasi man-in-the-middle (MITM) untuk mencegat kredensial.”

Hanley menambahkan, “Tema umum di sini adalah: setelah mereka berhasil, mereka akan terlihat seperti pengguna biasa.”

Bug ini populer di kalangan penyerang dunia maya secara umum, karena jejak Fortinet yang tersebar luas, catat para peneliti.

Selengkapnya: Threat Post

FBI dan CISA memperingatkan peretas negara yang menyerang server Fortinet FortiOS

by

Biro Investigasi Federal (FBI) dan Cybersecurity and Infrastructure Security Agency (CISA) memperingatkan pelaku ancaman persisten tingkat lanjut (APT) yang menargetkan server Fortinet FortiOS menggunakan beberapa eksploitasi.

Dalam Joint Cybersecurity Advisory (CSA) yang diterbitkan hari ini, agensi memperingatkan admin dan pengguna bahwa grup peretasan yang disponsori negara “kemungkinan” mengeksploitasi kerentanan Fortinet FortiOS CVE-2018-13379, CVE-2020-12812, dan CVE-2019-5591.

Para penyerang menghitung server yang belum ditambal terhadap CVE-2020-12812 dan CVE-2019-5591, dan memindai perangkat rentan CVE-2018-13379 pada port 4443, 8443, dan 10443.

Grup APT dapat menggunakan penyalahgunaan bug keamanan ini di masa mendatang untuk melanggar jaringan layanan pemerintah, komersial, dan teknologi. Begitu mereka mendapatkan infiltrasi jaringan target, mereka mungkin menggunakan akses awal ini untuk serangan di masa depan.

selengkapnya : www.bleepingcomputer.com

Fortinet telah memperbaiki kerentanan kritis di SSL VPN dan firewall web

by

Fortinet telah memperbaiki beberapa kerentanan parah yang memengaruhi produknya.

Kerentanan berkisar dari Remote Code Execution (RCE) hingga SQL Injection, hingga Denial of Service (DoS) dan berdampak pada produk FortiProxy SSL VPN dan FortiWeb Web Application Firewall (WAF).

Berbagai advisory yang diterbitkan oleh FortiGuard Labs bulan ini dan pada Januari 2021 menyebutkan berbagai kerentanan kritis yang telah ditambal oleh Fortinet pada produk mereka.

Catatan khusus adalah kerentanan CVE-2018-13381 di FortiProxy SSL VPN yang dapat dipicu oleh aktor jarak jauh yang tidak diautentikasi melalui permintaan POST yang dibuat.

Karena buffer overflow di portal SSL VPN FortiProxy, permintaan POST berukuran besar yang dibuat secara khusus, saat diterima oleh produk dapat membuat crash, yang mengarah ke kondisi Denial of Service (DoS).

Demikian pula, CVE-2018-13383 menarik karena penyerang dapat menyalahgunakannya untuk memicu luapan di VPN melalui properti konten HREF JavaScript.

Jika laman web buatan penyerang yang berisi muatan JavaScript diurai oleh FortiProxy SSL VPN, eksekusi kode jarak jauh sangat memungkinkan, sebagai tambahan DoS.

Kerentanan di FortiWeb Web Application Firewall ditemukan dan dilaporkan secara bertanggung jawab oleh peneliti Andrey Medov di Positive Technologies.

“Yang paling berbahaya dari keempat kerentanan ini adalah SQL Injection (CVE-2020-29015) dan Buffer Overflow (CVE-2020-29016) karena eksploitasi mereka tidak memerlukan otorisasi.”

Selengkapnya: Bleeping Computer

Konfigurasi Default VPN FortiGate Memungkinkan Serangan MitM

by

Menurut SAM IoT Security Lab, klien FortiGate SSL-VPN hanya memverifikasi bahwa sertifikat yang digunakan untuk otentikasi klien diterbitkan oleh Fortinet atau otoritas sertifikat tepercaya lainnya.

Peneliti menemukan bahwa pencarian Shodan menemukan lebih dari 230.000 peralatan FortiGate yang rentan menggunakan fungsionalitas VPN. Dari jumlah tersebut, 88 persen penuh, atau lebih dari 200.000 bisnis, menggunakan konfigurasi default dan dapat dengan mudah dilanggar dalam serangan MitM.

Sementara masalah ada di konfigurasi default klien FortiGard SSL-VPN, Fortinet tidak menganggap masalah sebagai kerentanan, karena pengguna memiliki kemampuan untuk mengganti sertifikat secara manual untuk mengamankan koneksi mereka dengan tepat.

Peneliti SAM mencatat bahwa pendekatan Fortinet “mungkin masuk akal untuk ruang perusahaan,” tetapi “bisnis kecil (misalnya firma hukum kecil) mungkin tidak memiliki pengetahuan atau waktu untuk mengkonfigurasinya.”

Baca berita selengkapnya pada tautan di bawah ini;
Source: The Threat Post