FBI alerta sobre grupo APT explorando zero day na FatPipe VPN desde maio

O Federal Bureau of Investigation (FBI) alertou sobre uma ameaça persistente avançada (APT) que compromete o clustering do roteador FatPipe e os produtos balanceadores de carga para violar as redes dos alvos.

FatPipe é uma empresa de hardware de rede de computador de Salt Lake City com sede especializada em soluções de otimização de WAN com muitas empresas Fortune 1000 em sua lista de clientes.

Organizações de todos os principais setores da indústria usam produtos FatPipe, incluindo entidades governamentais e militares, municípios, serviços públicos, instalações educacionais e instituições financeiras e médicas.

"Em novembro de 2021, a análise forense do FBI indicou a exploração de uma vulnerabilidade de dia zero no software do dispositivo FatPipe MPVPN desde pelo menos maio de 2021", disse o FBI em um  alerta instantâneo emitido esta semana.

"A vulnerabilidade permitiu que os atores do APT obtivessem acesso a uma função de upload de arquivo irrestrito para descartar um webshell para atividade de exploração com acesso root, levando a privilégios elevados e atividade subsequente potencial."

VPNs comprometidos usados ​​para movimento lateral

Depois de invadir dispositivos FatPipe vulneráveis, os invasores os usaram para se mover lateralmente para as redes de seus alvos.

O bug de dia zero explorado nesses ataques afeta todo o software do dispositivo FatPipe WARP, MPVPN e IPVPN antes das versões mais recentes 10.1.2r60p93 e 10.2.2r44p1.

A vulnerabilidade ainda não tem um CVE ID, mas, de acordo com o FBI, FatPipe corrigiu este mês e lançou um comunicado de segurança rastreado sob a tag FPSA006 .

“Uma vulnerabilidade na interface de gerenciamento web do software FatPipe pode permitir que um invasor remoto carregue um arquivo para qualquer local do sistema de arquivos em um dispositivo afetado”, afirma a empresa.

"A vulnerabilidade se deve à falta de entrada e mecanismos de verificação de validação para certas solicitações HTTP em um dispositivo afetado. Um invasor pode explorar esta vulnerabilidade enviando uma solicitação HTTP modificada para o dispositivo afetado."

A página de conselhos do FatPipe também inclui conselhos sobre como os clientes podem mitigar o bug desabilitando o acesso à interface do usuário em todas as interfaces WAN ou configurando listas de acesso na página de interface para permitir o acesso apenas de fontes confiáveis.

Ontem, o FBI também alertou em um comunicado conjunto com agências de segurança cibernética dos EUA, Reino Unido e Austrália que um grupo de hackers apoiado pelo Irã está explorando ativamente as vulnerabilidades do Microsoft Exchange ProxyShell e Fortinet .

 

Achou esse artigo interessante? Siga canalfsociety em Instagram, Facebook, Telegram, Twitter, App Boletim Tec e App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos.

Post a Comment