{"id":572846,"date":"2023-01-13T15:38:07","date_gmt":"2023-01-13T15:38:07","guid":{"rendered":"https:\/\/teknomers.com\/es\/fallo-de-fortios-explotado-como-dia-cero-en-ataques-contra-gobiernos-y-organizaciones\/"},"modified":"2023-01-13T15:38:09","modified_gmt":"2023-01-13T15:38:09","slug":"fallo-de-fortios-explotado-como-dia-cero-en-ataques-contra-gobiernos-y-organizaciones","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/fallo-de-fortios-explotado-como-dia-cero-en-ataques-contra-gobiernos-y-organizaciones\/","title":{"rendered":"Fallo de FortiOS explotado como d\u00eda cero en ataques contra gobiernos y organizaciones"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>13 de enero de 2023<\/span>\ue804<\/i>Ravie Lakshman\u00e1n<\/span><\/span>Respuesta a incidentes\/d\u00eda cero<\/span><\/p>\n<\/div>\n

\n
<\/div>\n

Una vulnerabilidad de d\u00eda cero en FortiOS SSL-VPN que Fortinet abord\u00f3 el mes pasado fue explotada por actores desconocidos en ataques dirigidos al gobierno y otras grandes organizaciones.<\/p>\n

“La complejidad del exploit sugiere un actor avanzado y que est\u00e1 altamente dirigido a objetivos gubernamentales o relacionados con el gobierno”, investigadores de Fortinet. dicho<\/a> en un an\u00e1lisis post-mortem publicado esta semana.<\/p>\n

Los ataques implicaron la explotaci\u00f3n de CVE-2022-42475, una falla de desbordamiento de b\u00fafer basada en mont\u00f3n que podr\u00eda permitir que un atacante remoto no autenticado ejecute c\u00f3digo arbitrario a trav\u00e9s de solicitudes dise\u00f1adas espec\u00edficamente.<\/p>\n

La cadena de infecci\u00f3n analizada por la empresa muestra que el objetivo final era implementar un implante de Linux gen\u00e9rico modificado para FortiOS que est\u00e1 equipado para comprometer el sistema de prevenci\u00f3n de intrusiones de Fortinet (IPS<\/a>) y establecer conexiones con un servidor remoto para descargar malware adicional y ejecutar comandos.<\/p>\n

Fortinet dijo que no pudo recuperar las cargas \u00fatiles utilizadas en las etapas posteriores de los ataques. No revel\u00f3 cu\u00e1ndo ocurrieron las intrusiones.<\/p>\n

\"Falla<\/div>\n

Adem\u00e1s, el modus operandi revela el uso de ofuscaci\u00f3n para frustrar el an\u00e1lisis, as\u00ed como “capacidades avanzadas” para manipular el registro de FortiOS y finalizar los procesos de registro para permanecer sin ser detectados.<\/p>\n

“Busca archivos elog, que son registros de eventos en FortiOS”, dijeron los investigadores. “Despu\u00e9s de descomprimirlos en la memoria, busca una cadena especificada por el atacante, la elimina y reconstruye los registros”.<\/p>\n

La compa\u00f1\u00eda de seguridad de redes tambi\u00e9n se\u00f1al\u00f3 que el exploit requiere una “comprensi\u00f3n profunda de FortiOS y el hardware subyacente” y que el actor de amenazas posee habilidades para realizar ingenier\u00eda inversa en diferentes partes de FortiOS.<\/p>\n

“La muestra de Windows descubierta atribuida al atacante mostr\u00f3 artefactos de haber sido compilada en una m\u00e1quina en la zona horaria UTC+8, que incluye Australia, China, Rusia, Singapur y otros pa\u00edses de Asia oriental”, agreg\u00f3.<\/p>\n

<\/p>\n

\u00bfEncontraste este art\u00edculo interesante? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n