La explotaci\u00f3n de d\u00eda cero de una falla de seguridad de gravedad media ahora parcheada en Fortinet FortiOS<\/a> El sistema operativo ha sido vinculado a un presunto grupo chino de hackers.<\/p>\n La firma de inteligencia de amenazas Mandiant, que hizo la atribuci\u00f3n, dijo que el grupo de actividades es parte de una campa\u00f1a m\u00e1s amplia dise\u00f1ada para implementar puertas traseras en las soluciones de Fortinet y VMware y mantener el acceso persistente a los entornos de las v\u00edctimas.<\/p>\n La firma de inteligencia de amenazas y respuesta a incidentes propiedad de Google est\u00e1 rastreando la operaci\u00f3n maliciosa bajo su nombre no categorizado. UNC3886<\/strong>un actor de amenazas entre China y el nexo.<\/p>\n “UNC3886 es un grupo de ciberespionaje avanzado con capacidades \u00fanicas en la forma en que operan en la red, as\u00ed como las herramientas que utilizan en sus campa\u00f1as”, investigadores de Mandiant. dicho<\/a> en un an\u00e1lisis t\u00e9cnico.<\/p>\n “Se ha observado que UNC3886 se dirige a tecnolog\u00edas de virtualizaci\u00f3n y firewall que carecen de compatibilidad con EDR. Su capacidad para manipular el firmware del firewall y explotar un d\u00eda cero indica que han adquirido un nivel m\u00e1s profundo de comprensi\u00f3n de tales tecnolog\u00edas”.<\/p>\n Vale la pena se\u00f1alar que el adversario estuvo anteriormente vinculado a otro conjunto de intrusiones dirigido a servidores VMware ESXi y Linux vCenter como parte de una campa\u00f1a de hiperjacking dise\u00f1ada para eliminar puertas traseras como VIRTUALPITA y VIRTUALPIE.<\/p>\n La \u00faltima divulgaci\u00f3n de Mandiant se produce cuando Fortinet revel\u00f3 que las entidades gubernamentales y las grandes organizaciones fueron v\u00edctimas de un actor de amenazas no identificado al aprovechar un error de d\u00eda cero en el software Fortinet FortiOS para provocar la p\u00e9rdida de datos y la corrupci\u00f3n del sistema operativo y los archivos.<\/p>\n La vulnerabilidad, rastreada como CVE-2022-41328<\/a> (puntuaci\u00f3n CVSS: 6.5), se refiere a un error de recorrido de ruta en FortiOS que podr\u00eda conducir a la ejecuci\u00f3n de c\u00f3digo arbitrario. Fue parcheado por Fortinet el 7 de marzo de 2023.<\/p>\n Seg\u00fan Mandiant, los ataques montados por UNC3886 se dirigieron a los dispositivos FortiGate, FortiManager y FortiAnalyzer de Fortinet para implementar dos implantes diferentes, como THINCRUST y CASTLETAP. Esto, a su vez, fue posible gracias al hecho de que el dispositivo FortiManager estuvo expuesto a Internet.<\/p>\n THINCRUST es una puerta trasera de Python capaz de ejecutar comandos arbitrarios, as\u00ed como leer y escribir desde y hacia archivos en el disco.<\/p>\n La persistencia que ofrece THINCRUST se aprovecha posteriormente para entregar secuencias de comandos de FortiManager que arman la falla transversal de ruta de FortiOS para sobrescribir archivos leg\u00edtimos y modificar im\u00e1genes de firmware.<\/p>\n Esto incluye una carga \u00fatil reci\u00e9n agregada llamada “\/bin\/fgfm” (referida como CASTLETAP) que se dirige a un servidor controlado por un actor para aceptar instrucciones entrantes que le permiten ejecutar comandos, obtener cargas \u00fatiles y filtrar datos del servidor comprometido. anfitri\u00f3n.<\/p>\n “Una vez que CASTLETAP se implement\u00f3 en los firewalls FortiGate, el actor de amenazas se conect\u00f3 a las m\u00e1quinas ESXi y vCenter”, explicaron los investigadores. “El actor de amenazas implement\u00f3 VIRTUALPITA y VIRTUALPIE para establecer la persistencia, lo que permiti\u00f3 el acceso continuo a los hipervisores y las m\u00e1quinas invitadas”.<\/p>\n Alternativamente, en los dispositivos FortiManager que implementan restricciones de acceso a Internet, se dice que el actor de la amenaza pas\u00f3 de un firewall FortiGate comprometido con CASTLETAP para colocar una puerta trasera de shell inverso llamada REPTILE (“\/ bin\/klogd”) en el sistema de administraci\u00f3n de red para recuperar el acceso. .<\/p>\n Descubra los peligros ocultos de las aplicaciones SaaS de terceros<\/p>\n \u00bfConoce los riesgos asociados con el acceso de aplicaciones de terceros a las aplicaciones SaaS de su empresa? \u00danase a nuestro seminario web para conocer los tipos de permisos que se otorgan y c\u00f3mo minimizar el riesgo.<\/p>\n RESERVA TU ASIENTO<\/a><\/div>\n UNC3886 tambi\u00e9n emplea en esta etapa una utilidad denominada TABLEFLIP, un software de redirecci\u00f3n de tr\u00e1fico de red para conectarse directamente al dispositivo FortiManager independientemente de la lista de control de acceso (LCA<\/a>) reglas establecidas.<\/p>\n Esto est\u00e1 lejos de ser la primera vez que los colectivos adversarios chinos se han centrado en equipos de red para distribuir malware a medida, y los ataques recientes se han aprovechado de otras vulnerabilidades en los dispositivos Fortinet y SonicWall.<\/p>\n La revelaci\u00f3n tambi\u00e9n se produce cuando los actores de amenazas est\u00e1n desarrollando e implementando exploits m\u00e1s r\u00e1pido que nunca, con hasta 28 vulnerabilidades explotadas dentro de los siete d\u00edas posteriores a la divulgaci\u00f3n p\u00fablica: un aumento del 12% con respecto a 2021 y un aumento del 87% con respecto a 2020, seg\u00fan r\u00e1pido7<\/a>.<\/p>\n Esto tambi\u00e9n es significativo, sobre todo porque los equipos de pirater\u00eda alineados con China se han vuelto “particularmente competentes” en la explotaci\u00f3n de vulnerabilidades de d\u00eda cero y en la implementaci\u00f3n de malware personalizado para robar las credenciales de los usuarios y mantener el acceso a largo plazo a las redes de destino.<\/p>\n “La actividad […] es una prueba m\u00e1s de que los actores avanzados de amenazas de espionaje cibern\u00e9tico est\u00e1n aprovechando cualquier tecnolog\u00eda disponible para persistir y atravesar un entorno objetivo, especialmente aquellas tecnolog\u00edas que no son compatibles con las soluciones EDR”, dijo Mandiant.<\/p>\n <\/p>\n![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/03\/1679144911_946_Los-piratas-informaticos-chinos-explotan-la-falla-de-dia-cero.png\")
<\/div>\n![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/03\/1679144911_815_Los-piratas-informaticos-chinos-explotan-la-falla-de-dia-cero.png\")
<\/div>\n