Το Ομοσπονδιακό Γραφείο Ερευνών των ΗΠΑ (FBI) αποκάλυψε ότι ένας άγνωστος παράγοντας απειλής εκμεταλλεύεται μια προηγουμένως άγνωστη αδυναμία στις συσκευές δικτύωσης FatPipe MPVPN τουλάχιστον από τον Μάιο του 2021 για να αποκτήσει μια αρχική βάση και να διατηρήσει σταθερή πρόσβαση σε ευάλωτα δίκτυα, καθιστώντας το τη πιο πρόσφατη εταιρεία που προσχώρησε σε εταιρείες όπως η Cisco, η Fortinet, η Citrix, η Pulse Secure, οι οποίες έχουν εκμεταλλευτεί τα συστήματά τους.
«Η ευπάθεια επέτρεψε στους χακερς του APT να αποκτήσουν πρόσβαση σε μια λειτουργία μεταφόρτωσης αρχείων για να απορρίψουν ένα web shell για δραστηριότητα εκμετάλλευσης με πρόσβαση root, οδηγώντας σε αυξημένα προνόμια και πιθανή επακόλουθη δραστηριότητα», ανέφερε η υπηρεσία σε ειδοποίηση που δημοσιεύτηκε αυτήν την εβδομάδα. “Η εκμετάλλευση αυτής της ευπάθειας χρησίμευσε στη συνέχεια ως κοινό σημείο για άλλες υποδομές για τους χακερς του APT.”
Με άλλα λόγια, η ευπάθεια zero-day επιτρέπει σε έναν απομακρυσμένο εισβολέα να ανεβάσει ένα αρχείο σε οποιαδήποτε θέση στο σύστημα αρχείων μιας επηρεαζόμενης συσκευής. Το ελάττωμα ασφαλείας επηρεάζει τη διεπαφή διαχείρισης ιστού του συμπλέγματος δρομολογητών FatPipe WARP, MPVPN και IPVPN και των συσκευών εξισορρόπησης φορτίου VPN που εκτελούν λογισμικό πριν από τις εκδόσεις της πιο πρόσφατης έκδοσης 10.1.2r60p93 και 10.2.2r44p1.
Το FBI, στην ειδοποίηση flash, σημείωσε ότι ο παράγοντας απειλής χρησιμοποίησε το web shell για να κινηθεί πλευρικά και να χτυπήσει πρόσθετη υποδομή των ΗΠΑ δημιουργώντας μια κακόβουλη υπηρεσία SSH, ακολουθώντας την με μια σειρά βημάτων που έχουν σχεδιαστεί για να κρύψουν τις εισβολές και να προστατευτούν μέχρι να χρειαστεί ξανά.
Σε ένα ανεξάρτητο ενημερωτικό δελτίο (FPSA006), ο FatPipe είπε ότι το σφάλμα προέρχεται από την έλλειψη μηχανισμού επικύρωσης εισόδου για συγκεκριμένα αιτήματα HTTP, επιτρέποντας έτσι σε έναν εισβολέα να εκμεταλλευτεί το ζήτημα στέλνοντας ένα ειδικά κατασκευασμένο αίτημα HTTP στη συσκευή που επηρεάζεται. Αν και δεν υπάρχουν λύσεις που να αντιμετωπίζουν το ελάττωμα, η εταιρεία είπε ότι μπορεί να μετριαστεί απενεργοποιώντας την πρόσβαση UI και SSH στη διεπαφή WAN ή ρυθμίζοντας τις λίστες πρόσβασης ώστε να επιτρέπεται η πρόσβαση μόνο από αξιόπιστες πηγές.