image

FBI: zerodaylek in FatPipe vpn-servers maandenlang misbruikt door APT-groep

donderdag 18 november 2021, 11:37 door Redactie, 2 reacties

Een groep aanvallers heeft maandenlang misbruik gemaakt van een zerodaylek in vpn-servers van fabrikant FatPipe om organisaties aan te vallen, zo waarschuwt de FBI. Via de kwetsbaarheid kan volledige controle over het systeem worden gekregen, aldus de Amerikaanse opsporingsdienst. Die stelt op basis van forensische analyse dat er zeker sinds mei van dit jaar misbruik van het lek wordt gemaakt.

Het gaat om een kwetsbaarheid in de webinterface waardoor een remote aanvaller willekeurige bestanden kan plaatsen op elke locatie van het bestandssysteem van kwetsbare servers. De aanvallen zouden het werk zijn van een niet nader genoemde Advanced Persistent Threat (APT)-groep, zo stelt de FBI. De term APT wordt vaak gebruikt voor statelijke actoren.

Deze groep gebruikte de zeroday om een webshell op FatPipe vpn-servers te installeren waarmee vervolgens verdere aanvallen op de infrastructuur van getroffen organisaties werden uitgevoerd. Door het beveiligingslek is het mogelijk om roottoegang tot de vpn-servers te krijgen.

FatPipe heeft afgelopen dinsdag 16 november een beveiligingsupdate voor de aangevallen kwetsbaarheid uitgerold. Ook worden organisaties aangeraden om de webinterface niet vanaf de WAN-interface toegankelijk te maken of de toegang via een Access Lists te beperken. In de waarschuwing van de FBI staan verschillende details waarmee beheerders kunnen kijken of hun vpn-servers zijn gecompromitteerd (pdf).

Reacties (2)
18-11-2021, 16:14 door Anoniem
Tja had nou maar een VPN van LeakyPipe genomen...
18-11-2021, 18:53 door Anoniem
Tegen APT's beschermen is knap lastig, als die je echt op de korrel hebben komen ze toch wel binnen.

Dat laat onverlet dat
....worden organisaties aangeraden om de webinterface niet vanaf de WAN-interface toegankelijk te maken of de toegang via een Access Lists te beperken.

een best practice is die je altijd moet toepassen als dat enigzins mogelijk is.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.