FBI dan Cybersecurity and Infrastructure Security Agency (CISA) memperingatkan bahwa pelaku negara-bangsa ancaman persisten tingkat lanjut (APT) secara aktif mengeksploitasi kerentanan keamanan yang diketahui dalam sistem operasi keamanan siber Fortinet FortiOS, yang memengaruhi produk SSL VPN perusahaan tersebut.
Menurut peringatan yang dikeluarkan hari Jumat oleh FBI dan CISA, penyerang siber memindai perangkat di port 4443, 8443, dan 10443, mencari implementasi keamanan Fortinet yang belum ditambal. Secara khusus, APT mengeksploitasi kerentanan CVE-2018-13379, CVE-2019-5591 dan CVE-2020-12812.
Bug yang dilacak sebagai CVE-2018-13379 adalah masalah jalur-traversal di Fortinet FortiOS, di mana portal web SSL VPN memungkinkan penyerang yang tidak terautentikasi mengunduh file sistem melalui permintaan sumber daya HTTP yang dibuat secara khusus.
Cacat CVE-2019-5591 adalah kerentanan konfigurasi default di FortiOS yang memungkinkan penyerang tidak terautentikasi pada subnet yang sama mencegat informasi sensitif dengan meniru identitas server LDAP.
Dan terakhir, CVE-2020-12812 adalah kerentanan otentikasi yang tidak tepat di SSL VPN di FortiOS, yang memungkinkan pengguna untuk berhasil masuk tanpa dimintai faktor kedua dari otentikasi (FortiToken) jika mereka mengubah kasus nama pengguna mereka.
“Penyerang semakin menargetkan aplikasi eksternal yang penting – VPN semakin menjadi sasaran tahun lalu,” kata Zach Hanley, red team engineer senior di Horizon3.AI, melalui email. “Ketiga kerentanan yang menargetkan Fortinet VPN ini memungkinkan penyerang mendapatkan kredensial yang valid, melewati otentikasi multifaktor (MFA), dan lalu lintas otentikasi man-in-the-middle (MITM) untuk mencegat kredensial.”
Hanley menambahkan, “Tema umum di sini adalah: setelah mereka berhasil, mereka akan terlihat seperti pengguna biasa.”
Bug ini populer di kalangan penyerang dunia maya secara umum, karena jejak Fortinet yang tersebar luas, catat para peneliti.
Selengkapnya: Threat Post
