FBI ostrzega o wykorzystywanej przez grupę APT podatności 0day w VPN [Fatpipe]. Podatność jest banalna.

Esencja z ostrzeżenia FBI wygląda następująco:

As of November 2021, FBI forensic analysis indicated exploitation of a 0-day vulnerability in the FatPipe MPVPN® device software going back to at least May 2021. The vulnerability allowed APT actors to gain access to an unrestricted file upload function to drop a webshell for exploitation activity with root access, leading to elevated privileges and potential follow-on activity.

Zatem bez uwierzytelnienia można było dostać od razu uprawnienia root na urządzeniu odpowiedzialnym za VPN. W jaki sposób? Raport dostarcza całkiem sporo hintów:

[1] GET request to /RELEASE-NOTES.txt

[to zapewne sprawdzenie z jaką wersję firmware mamy do czynienia]

[2] POST request to /fpui/uploadConfigServlet?fileNumber=undefined

[mechanizm uploadu, który był dostępny bez uwierzytelnienia; uploadowany był tutaj webshell, a następnie z wykorzystaniem webshella, nadpisywana była konfiguracja serwera SSH; następował restart serwera SSH dalej i już „normalny” dostęp na roota]

[3] Immediately after the POST request, the following activity was observed:

Download /sshd_config

Download /authorized_keys

Restart the SSHd service

Niepokojący ale i dość skąpy jest również dopisek:

During a varying length of time while the webshell was available, the actor(s) used the new SSH access to route malicious traffic through the device and target additional U.S. infrastructure.

Podatność została załatana, szczegóły tutaj. Jednocześnie trzeba się już chyba przyzwyczaić do faktu, że grupy APT czy operatorzy ransomware będą coraz bardziej eksplorować możliwości zakupów podatności 0-day.

~Michał Sajdak