Las entidades gubernamentales y las grandes organizaciones han sido atacadas por un actor de amenazas desconocido al explotar una falla de seguridad en el software Fortinet FortiOS para provocar la pérdida de datos y la corrupción del sistema operativo y los archivos.
«La complejidad del exploit sugiere un actor avanzado y que está altamente dirigido a objetivos gubernamentales o relacionados con el gobierno», dijeron los investigadores de Fortinet Guillaume Lovet y Alex Kong. dicho en un aviso la semana pasada.
La falla de día cero en cuestión es CVE-2022-41328 (Puntuación CVSS: 6.5), un error de cruce de ruta de seguridad media en FortiOS que podría conducir a la ejecución de código arbitrario.
«Una limitación inapropiada de un nombre de ruta a una vulnerabilidad de directorio restringido (‘recorrido de ruta’) [CWE-22] en FortiOS puede permitir que un atacante privilegiado lea y escriba archivos arbitrarios a través de comandos CLI manipulados», señaló la compañía.
La deficiencia afecta a las versiones 6.0, 6.2, 6.4.0 a 6.4.11, 7.0.0 a 7.0.9 y 7.2.0 a 7.2.3 de FortiOS. Las correcciones están disponibles en las versiones 6.4.12, 7.0.10 y 7.2.4 respectivamente.
La divulgación se produce días después de que Fortinet lanzara parches para abordar 15 fallas de seguridad, incluido CVE-2022-41328 y un problema crítico de subdesbordamiento de búfer basado en montón que afecta a FortiOS y FortiProxy (CVE-2023-25610, puntaje CVSS: 9.3).
Según la empresa con sede en Sunnyvale, varios dispositivos FortiGate pertenecientes a un cliente anónimo sufrieron una «detención repentina del sistema y una falla posterior en el arranque», lo que indica una violación de la integridad.
Un análisis más detallado del incidente reveló que los actores de la amenaza modificaron la imagen del firmware del dispositivo para incluir una nueva carga útil («/bin/fgfm») de modo que siempre se inicie antes de que comience el proceso de arranque.
El malware /bin/fgfm está diseñado para establecer contacto con un servidor remoto para descargar archivos, filtrar datos del host comprometido y otorgar acceso de shell remoto.
Se dice que los cambios adicionales introducidos en el firmware proporcionaron al atacante acceso y control persistentes, sin mencionar incluso la desactivación de la verificación del firmware al inicio.
Descubra los peligros ocultos de las aplicaciones SaaS de terceros
¿Conoce los riesgos asociados con el acceso de aplicaciones de terceros a las aplicaciones SaaS de su empresa? Únase a nuestro seminario web para conocer los tipos de permisos que se otorgan y cómo minimizar el riesgo.
Fortinet dijo que el ataque fue altamente dirigido, con evidencia que apunta a organizaciones gubernamentales o afiliadas al gobierno.
Dada la complejidad del exploit, se sospecha que el atacante tiene un «conocimiento profundo de FortiOS y el hardware subyacente» y posee capacidades avanzadas para realizar ingeniería inversa en diferentes aspectos del sistema operativo FortiOS.
No está claro de inmediato si el actor de amenazas tiene alguna conexión con otro conjunto de intrusos que se observó armando una falla en FortiOS SSL-VPN (CVE-2022-42475) a principios de enero para implementar un implante de Linux.