Oare Ai Fost Deja Compromis?
Oare Ai Fost Compromis?
Cursuri
Articole educative Module video Cyber Security Tips Quiz
Noutăți Despre noi Devino membru

Alertă NCSC: "UMBRELLA STAND" Atacă Agresiv Firewall-urile Fortinet FortiGate

Alertă NCSC: "UMBRELLA STAND" Atacă Agresiv Firewall-urile Fortinet FortiGate

-

Rating: 0.0 (0 voturi)
Noutăți 24.06.2025

NCSC a emis o alertă critică privind "UMBRELLA STAND", un malware sofisticat care atacă firewall-urile Fortinet FortiGate 100D. Această amenințare recent identificată este concepută pentru a stabili acces persistent pe termen lung la rețelele compromise, exploatând vulnerabilități în aceste dispozitive. Malware-ul folosește comunicații TLS false și canale AES-criptate pentru a trimite date către serverele sale de comandă și control, masând traficul malițios printre comunicațiile HTTPS normale, ceea ce face detectarea sa extrem de dificilă.

"UMBRELLA STAND" operează cu un set complex de utilitare publice și are o arhitectură modulară, cu un binariu principal de rețea ("blghtd") și un proces de "watchdog" ("jvnlpe") care îi asigură funcționarea continuă. Atacatorii au demonstrat o securitate operațională avansată, folosind criptarea șirurilor de caractere și denumiri generice pentru fișiere, pentru a evita detectarea. Impactul unei infecții reușite ar avea un efect semnificativ, oferind atacatorilor capacități complete de execuție la distanță a comenzilor.

Cel mai îngrijorător aspect al acestui malware este mecanismul său de persistență. "UMBRELLA STAND" își asigură accesul continuu chiar și după repornirea sistemului prin suprascrierea funcției legitime de reboot a sistemului de operare Fortinet și prin manipularea fișierului de configurare "/etc/ld.so.preload" pentru a-și încărca biblioteca malițioasă în noi procese. În plus, abuzează de funcțiile de securitate Fortinet, modificând directorul "/bin/sysctl" pentru a-și ascunde fișierele în "/data2/.ztls/", făcându-le invizibile pentru administratori și imitând protecțiile sistemului legitim.



Sfaturi Esențiale de Protectie


1. Actualizează Firmware-ul FortiGate Imediat:

  • Pas 1: Verifică versiunea actuală a firmware-ului. Conectează-te la interfața web de administrare a FortiGate (GUI) și navighează la System > Firmware & Settings (sau System > Dashboard > Status). Notează versiunea curentă și modelul exact.
  • Pas 2: Identifică cele mai recente patch-uri de securitate. Accesează portalul oficial Fortinet Support (support.fortinet.com) sau consultă buletinele de securitate NCSC/CERT/FortiGuard. Caută actualizări specifice modelului tău FortiGate care adresează vulnerabilități cunoscute (cum ar fi cele legate de "UMBRELLA STAND").
  • Pas 3: Planifică și aplică actualizările de firmware. Descarcă fișierul de firmware corespunzător. Creează un backup complet al configurației actuale a FortiGate (System > Configuration > Backup). Navighează la System > Firmware & Settings și urmează instrucțiunile pentru upgrade. Planifică în afara orelor de program.


2. Limitează Expunerea la Internet a Firewall-ului:

  • Pas 1: Dezactivează accesul direct din WAN la interfața de management. În GUI-ul FortiGate, navighează la Network > Interfaces. Editează interfața WAN și asigură-te că opțiunile de "Administrative Access" (HTTP, HTTPS, SSH, Telnet, PING) sunt DEZACTIVATE pentru interfața WAN.
  • Pas 2: Permite accesul la management doar din rețele de încredere (interne sau VPN). Configurează o interfață de management separată (ex: o interfață LAN dedicată) și permite accesul la HTTP/HTTPS/SSH DOAR pe această interfață internă. Dacă ai nevoie de acces la distanță, configurează un VPN (IPsec sau SSL-VPN) și permite accesul la GUI-ul FortiGate doar prin tunelul VPN securizat.
  • Pas 3: Restricționează accesul la management prin ACL-uri (Access Control Lists). Dacă este absolut necesar să expui un serviciu de management la o adresă IP externă specifică, creează o politică de firewall explicită (Policy & Objects > Firewall Policy) care să permită traficul doar de la adrese IP sursă predefinite și de încredere către interfața de management a FortiGate.


3. Implementează Autentificarea Multi-Factor (MFA) pentru Accesul la Management:

  • Pas 1: Activează MFA pentru toți utilizatorii care au acces la interfața de administrare a FortiGate.
  • Pas 2: Configurează metode puternice de MFA (ex: token hardware, aplicații Authenticator) și evită SMS-ul, dacă este posibil, pentru o securitate sporită.


4. Monitorizează Traficul pe Portul 443 (HTTPS) pentru Anomalii:

  • Pas 1: Implementează soluții de monitorizare a traficului de rețea (ex: SIEM, NIDS/NIPS) capabile să analizeze sesiunile TLS/SSL.
  • Pas 2: Caută pattern-uri neobișnuite, cum ar fi sesiuni TLS care nu încep cu handshake-uri corecte, sau trafic criptat pe portul 443 provenind de la IP-uri suspecte (ex: 89.44.194.32 menționat în cazul UMBRELLA STAND).
  • Pas 3: Utilizează funcții de deep packet inspection (DPI) pe FortiGate (dacă sunt disponibile și configurate corect) pentru a detecta anomalii în traficul criptat.


5. Utilizează Soluții Avansate de Detecție (EDR/NDR):

  • Pas 1: Integrează FortiGate cu soluții de detecție și răspuns la incidente (EDR pe endpoint-uri, NDR la nivel de rețea) care pot identifica comportamente malițioase sau prezența de toolkit-uri suspecte (BusyBox, tcpdump, nbtscan).
  • Pas 2: Configurează alerte pentru activități neobișnuite ale proceselor sau modificări ale fișierelor de sistem pe dispozitivele critice și sistemele conectate la rețea.


6. Verifică Integritatea Fișierelor de Sistem (File Integrity Monitoring - FIM):

  • Pas 1: Implementează FIM pe firewall-uri și alte sisteme critice pentru a monitoriza modificările aduse fișierelor de sistem sensibile (ex: /bin/sysctl, /etc/ld.so.preload).
  • Pas 2: Configurează alerte automate la orice modificare neautorizată a acestor fișiere, investigând imediat orice alertă.


7. Monitorizează Modificările la Configurarea Proceselor:

  • Pas 1: Revizuiește periodic lista proceselor care rulează pe firewall și caută nume generice sau suspecte (ex: /bin/httpsd).
  • Pas 2: Fii atent la orice procese care rulează cu privilegii ridicate și care par să aibă denumiri mascate sau care se comportă atipic (ex: se închid după 900 de secunde), investigând comportamentele neobișnuite.


8. Implementează Segmentarea Rețelei (Network Segmentation):

  • Pas 1: Segmentează rețeaua internă pentru a izola dispozitivele critice și a limita propagarea laterală a potențialelor infecții.
  • Pas 2: Utilizează reguli de firewall stricte între segmente pentru a controla fluxurile de trafic și a preveni accesul neautorizat de la un segment compromis la altul.


9. Verifică Periodic Directorile Ascunse și Modificările de Sistem:

  • Pas 1: Fii conștient de tehnicile de evaziune precum modificarea directorilor protejați (ex: /data/etc/.ftgd_trusted/) sau utilizarea directorilor ascunși (ex: /data2/.ztls/).
  • Pas 2: Efectuează audituri de securitate periodice care includ scanări pentru fișiere și directoare ascunse, precum și verificări de integritate ale configurațiilor de sistem.


10. Implementează un Program Robust de Patch Management și Vulnerability Scanning:

  • Pas 1: Stabilește o rutină strictă de patch management pentru toate dispozitivele de rețea, inclusiv FortiGate.
  • Pas 2: Rulează scanări regulate de vulnerabilitate (ex: cu instrumente ca Nessus, Qualys) pe toate dispozitivele cu expunere la internet pentru a identifica și remedia vulnerabilitățile cunoscute înainte ca atacatorii să le poată exploata.

Pentru mai multe sfaturi și informații despre securitatea cibernetică, vizitează regulat sigurantapenet.ro

Sursa