Fallo de FortiOS explotado como día cero en ataques contra gobiernos y organizaciones

13 de enero de 2023Ravie LakshmanánRespuesta a incidentes/día cero

Una vulnerabilidad de día cero en FortiOS SSL-VPN que Fortinet abordó el mes pasado fue explotada por actores desconocidos en ataques dirigidos al gobierno y otras grandes organizaciones.

“La complejidad del exploit sugiere un actor avanzado y que está altamente dirigido a objetivos gubernamentales o relacionados con el gobierno”, investigadores de Fortinet. dicho en un análisis post-mortem publicado esta semana.

Los ataques implicaron la explotación de CVE-2022-42475, una falla de desbordamiento de búfer basada en montón que podría permitir que un atacante remoto no autenticado ejecute código arbitrario a través de solicitudes diseñadas específicamente.

La cadena de infección analizada por la empresa muestra que el objetivo final era implementar un implante de Linux genérico modificado para FortiOS que está equipado para comprometer el sistema de prevención de intrusiones de Fortinet (IPS) y establecer conexiones con un servidor remoto para descargar malware adicional y ejecutar comandos.

Fortinet dijo que no pudo recuperar las cargas útiles utilizadas en las etapas posteriores de los ataques. No reveló cuándo ocurrieron las intrusiones.

Además, el modus operandi revela el uso de ofuscación para frustrar el análisis, así como “capacidades avanzadas” para manipular el registro de FortiOS y finalizar los procesos de registro para permanecer sin ser detectados.

“Busca archivos elog, que son registros de eventos en FortiOS”, dijeron los investigadores. “Después de descomprimirlos en la memoria, busca una cadena especificada por el atacante, la elimina y reconstruye los registros”.

La compañía de seguridad de redes también señaló que el exploit requiere una “comprensión profunda de FortiOS y el hardware subyacente” y que el actor de amenazas posee habilidades para realizar ingeniería inversa en diferentes partes de FortiOS.

“La muestra de Windows descubierta atribuida al atacante mostró artefactos de haber sido compilada en una máquina en la zona horaria UTC+8, que incluye Australia, China, Rusia, Singapur y otros países de Asia oriental”, agregó.