FBI: FatPipe VPN Zero-Day misbruikt door APT gedurende 6 maanden

Een dreigingsactor maakt misbruik van een zero-day-kwetsbaarheid in FatPipe’s virtual private network (VPN)-apparaten als een manier om bedrijven te hacken en toegang te krijgen tot hun interne netwerken, althans sinds mei, heeft de FBI gewaarschuwd.

“Vanaf november 2021 wees forensische analyse van de FBI uit dat misbruik van een 0-dagen-kwetsbaarheid in de FatPipe MPVPN-apparaatsoftware teruggaat tot ten minste mei 2021”, zei het bureau dinsdag in een flitswaarschuwing (PDF).

De bug – deze week gepatcht – is te vinden in de apparaatsoftware voor FatPipe’s WARP WAN-redundantieproduct, het MPVPN-routerclusterapparaat en het IPVPN-taakverdelings- en betrouwbaarheidsapparaat voor VPN’s. De producten zijn alle soorten servers die zijn geïnstalleerd aan de netwerkperimeters en worden gebruikt om werknemers op afstand toegang te geven tot interne apps via internet, die dienen als deels netwerkgateways, deels firewalls.

Volgens de waarschuwing stelde de fout APT-actoren (Advanced Persistent Threat) in staat om een ​​bestandsuploadfunctie in de firmware van het apparaat te misbruiken om een ​​webshell met roottoegang te installeren, wat leidde tot verhoogde privileges.

Door gebruik te maken van de kwetsbaarheid, die nog geen CVE-trackingnummer heeft, konden de APT-actoren zich lateraal verspreiden in de netwerken van slachtoffers. FatPipe volgt de kwetsbaarheid met zijn eigen tag, FPSA006, die zowel de patch als een beveiligingsadvies bevat dat het dinsdag uitbracht.

De kwetsbaarheid treft alle FatPipe WARP-, MPVPN- en IPVPN-apparaatsoftware vóór de nieuwste versie-releases: 10.1.2r60p93 en 10.2.2r44p1.

Exploit geeft externe aanvallers beheerdersrechten

FatPipe legde uit dat de voormalige zero-day, die werd gevonden in de webbeheerinterface van de getroffen firmware, een geverifieerde, externe aanvaller met alleen-lezen-privileges in staat zou kunnen stellen hun privileges op te voeren tot het niveau van een beheerder op een getroffen apparaat .

De fout wordt veroorzaakt door een gebrek aan invoer- en validatiecontrolemechanismen voor bepaalde HTTP-verzoeken op een getroffen apparaat, zei FatPipe.

“Een aanvaller kan misbruik maken van dit beveiligingslek door een aangepast HTTP-verzoek naar het getroffen apparaat te sturen”, aldus het advies van het bedrijf. “Een exploit kan de aanvaller als alleen-lezen gebruiker in staat stellen functies uit te voeren alsof hij een gebruiker met beheerdersrechten is.”

De waarschuwing van de FBI omvatte een lijst met indicatoren van compromis (IOC’s) en YARA-malwarehandtekeningen en vroeg organisaties om “onmiddellijk actie te ondernemen” als ze gerelateerde netwerkactiviteit identificeren.

De FBI dringt er bij systeembeheerders op aan om hun apparaten onmiddellijk te upgraden en andere FatPipe-beveiligingsaanbevelingen op te volgen, waaronder het uitschakelen van UI- en SSH-toegang vanaf de WAN-interface (extern gericht) wanneer ze deze niet actief gebruiken.

Sluit je aan bij de menigte

Het nieuws betekent dat FatPipe lid is geworden van een club waar niemand deel van wil uitmaken: de competitie van fabrikanten van VPN- en netwerkapparatuur wiens systemen zijn uitgebuit door cyberaanvallen.

Het is zover gekomen dat de overheid de behoefte voelde om in te grijpen. In september hebben de Amerikaanse National Security Agency (NSA) en de Cybersecurity and Infrastructure Security Agency (CISA) richtlijnen uitgebracht voor het selecteren en versterken van VPN’s, met aanbevelingen voor het kiezen en versterken van VPN’s. VPN’s om te voorkomen dat nationale APT’s fouten als wapen gebruiken en CVE’s om in beveiligde netwerken in te breken.

Onbeveiligde VPN’s kunnen immers een grote puinhoop zijn: vraag het maar aan Colonial Pipeline (die door de REvil ransomware-boeven werd gepwn met een oud VPN-wachtwoord) of de 87.000 (minstens) Fortinet-klanten wiens inloggegevens voor niet-gepatchte SSL-VPN’s online werden geplaatst in September.

Zoals het overheidsadvies heeft uitgelegd, kan het exploiteren van CVE’s die zijn gekoppeld aan VPN’s een kwaadwillende actor in staat stellen “inloggegevens te stelen, op afstand code uit te voeren, de cryptografie van versleuteld verkeer te verzwakken, versleutelde verkeerssessies te kapen en gevoelige gegevens van het apparaat te lezen.”

Als dit lukt, kunnen bedreigingsactoren verdere kwaadwillende toegang krijgen die kan leiden tot een grootschalige inbreuk op een bedrijfsnetwerk.

Kop 1

FBI: FatPipe VPN Zero-Day misbruikt door APT gedurende 6 maanden

FBI: FatPipe VPN Zero-Day misbruikt door APT gedurende 6 maanden

Een dreigingsactor maakt misbruik van een zero-day-kwetsbaarheid in FatPipe’s virtual private network (VPN)-apparaten als een manier om bedrijven te hacken en…
Exchange, Fortinet-fouten worden uitgebuit door Iraanse APT, waarschuwt CISA

Exchange, Fortinet-fouten worden uitgebuit door Iraanse APT, waarschuwt CISA

Een door de staat gesteunde Iraanse dreigingsactor maakt gebruik van meerdere CVE’s – waaronder al maanden ernstige Fortinet-kwetsbaarheden en wekenlang een…
6M Sky-routers bijna 1,5 jaar blootgesteld aan aanvallen

6M Sky-routers bijna 1,5 jaar blootgesteld aan aanvallen

Sky, een Britse breedbandprovider, liet de onderbuik van ongeveer 6 miljoen klanten bloot aan aanvallers die hun tanden op afstand in…