Elhúzódó titkolózás, gyorsan terjedő támadások
Fontos megjegyezni, hogy a bizonyító erejű exploitkód már október eleje óta forgalomban van, miközben a Fortinet a támadások mértékéről és kezdetéről semmilyen részletet nem árult el. A cég szerint már az első jelek után elindították a belső válaszlépéseket és a kármentesítést, valamint közvetlenül kapcsolatba léptek az érintett felhasználókkal. Mindezek ellenére független, harmadik fél biztonsági szakértői, például a watchTowr csapata, széles körű, folyamatos támadási hullámról számoltak be, amelynek fókuszában egy új adminisztrátori fiók létrehozása áll, hogy a támadók tartós hozzáférést biztosítsanak maguknak.
Hónapok óta ismert, mégis kevesen javítják
A sérülékenység pontos leírásához és az azonosítás megkönnyítéséhez a watchTowr egy működő exploitot és egy elemző eszközt is publikált. Hiába a júliusban kiadott 8.0.2-es javítás, a FortiWeb-eszközök legalább 80 000 példánya továbbra is elérhető az interneten. A szakértők szerint azok, akik nem telepítették a frissítést, jó eséllyel már kompromittálódtak, tekintettel a támadások intenzitására és rendszerességére.
Október óta számítógépes kémkedés és sebezhetőség-kereskedelem
A támadások kezdete legalább október 6-ra vezethető vissza, amikor egy kiberbiztonsági cég csapdája egy exploitot rögzített egy honeypot-rendszeren keresztül, a hiba ekkor még hivatalosan sem volt dokumentálva. Később a Rapid7 kutatói egy nulladik napi kihasználást is észleltek, amelyet november elején egy ismert exploitpiacon árultak. Bár nem tisztázott, hogy ugyanarról a támadásról van-e szó, az időzítés nem véletlen.
Következésképpen
A példa jól mutatja, mennyire veszélyes, ha egy vállalat csak késve, átláthatatlanul kommunikál súlyos biztonsági hibákról. Akik nem telepítették a FortiWeb legújabb frissítését, különösen kitettek a támadásoknak, amelyek várhatóan még hosszú ideig tartanak.
