Een groep aanvallers heeft maandenlang misbruik gemaakt van een zerodaylek in vpn-servers van fabrikant FatPipe om organisaties aan te vallen, zo waarschuwt de FBI. Via de kwetsbaarheid kan volledige controle over het systeem worden gekregen, aldus de Amerikaanse opsporingsdienst. Die stelt op basis van forensische analyse dat er zeker sinds mei van dit jaar misbruik van het lek wordt gemaakt.

Het gaat om een kwetsbaarheid in de webinterface waardoor een remote aanvaller willekeurige bestanden kan plaatsen op elke locatie van het bestandssysteem van kwetsbare servers. De aanvallen zouden het werk zijn van een niet nader genoemde Advanced Persistent Threat (APT)-groep, zo stelt de FBI. De term APT wordt vaak gebruikt voor statelijke actoren.

Deze groep gebruikte de zeroday om een webshell op FatPipe vpn-servers te installeren waarmee vervolgens verdere aanvallen op de infrastructuur van getroffen organisaties werden uitgevoerd. Door het beveiligingslek is het mogelijk om roottoegang tot de vpn-servers te krijgen.

FatPipe heeft afgelopen dinsdag 16 november een beveiligingsupdate voor de aangevallen kwetsbaarheid uitgerold. Ook worden organisaties aangeraden om de webinterface niet vanaf de WAN-interface toegankelijk te maken of de toegang via een Access Lists te beperken. In de waarschuwing van de FBI staan verschillende details waarmee beheerders kunnen kijken of hun vpn-servers zijn gecompromitteerd (pdf).