Aviso do FBI: esta falha de software VPN de dia zero foi explorada por hackers APT

O FBI alertou que um grupo sofisticado de invasores explorou uma falha de dia zero em uma marca de software de rede privada virtual (VPN) desde maio.

O FBI disse que sua análise forense mostrou que a exploração da vulnerabilidade de dia zero no software FatPipe WARP, MPVPN e IPVPN, por um grupo de ameaça persistente avançada (APT), datava de pelo menos maio de 2021. Não fornecia mais informações sobre a identidade de o grupo.

A vulnerabilidade permitiu que os invasores obtivessem acesso a uma função de upload de arquivo irrestrito para descartar um webshell para atividade de exploração com acesso root, levando a privilégios elevados e atividade subsequente potencial, disse o FBI, observando: “A exploração desta vulnerabilidade serviu então como um ponto de partida para outra infraestrutura para os atores da APT. “

Veja também: Uma estratégia vencedora para a segurança cibernética (Relatório especial ZDNet).

O FBI disse que a vulnerabilidade afeta todos os softwares FatPipe WARP, MPVPN e IPVPN anteriores aos lançamentos das versões mais recentes, 10.1.2r60p93 e 10.2.2r44p1.

Ele avisou que a detecção da atividade de exploração pode ser difícil, pois scripts de limpeza projetados para remover rastros da atividade dos invasores foram descobertos na maioria dos casos.

“As organizações que identificam qualquer atividade relacionada a esses indicadores de comprometimento em suas redes devem agir imediatamente”, disse o FBI em um alerta.

“O FBI recomenda fortemente que os administradores de sistema atualizem seus dispositivos imediatamente e sigam outras recomendações de segurança do FatPipe, como desabilitar a IU e o acesso SSH a partir da interface WAN (voltada externamente) quando não estiver usando ativamente.”

FatPipe tem seu próprio consultivo FPSA006, que observa: “Uma vulnerabilidade na interface de gerenciamento da web do software FatPipe pode permitir que um invasor remoto carregue um arquivo para qualquer local do sistema de arquivos em um dispositivo afetado.

“A vulnerabilidade se deve à falta de entrada e mecanismos de verificação de validação para certas solicitações HTTP em um dispositivo afetado. Um invasor pode explorar esta vulnerabilidade enviando uma solicitação HTTP modificada para o dispositivo afetado.”