CVE-2022-42475 الثغرة الأمنية

بين عامي 2022 و2023، تسللت جهات التهديد التي ترعاها الدولة والمرتبطة بالصين إلى 20 ألف نظام Fortinet FortiGate على مستوى العالم من خلال استغلال ثغرة أمنية خطيرة معروفة. يكشف هذا الاختراق عن تأثير أوسع مما تم الاعتراف به سابقًا.

كان الممثل الحكومي المسؤول عن هذه العملية على علم بالفعل بالثغرة الأمنية في أنظمة FortiGate قبل شهرين على الأقل من الكشف عنها بواسطة Fortinet. خلال هذه الفترة، المعروفة باسم نافذة اليوم صفر، نجح المهاجم في اختراق 14000 جهاز.

وفقًا لتقرير مشترك صادر عن جهاز المخابرات والأمن العسكري الهولندي (MIVD) وجهاز المخابرات العامة والأمن (AIVD) في أوائل عام 2024، استغل المتسللون الصينيون CVE-2022-42475، وهي ثغرة أمنية خطيرة في تنفيذ التعليمات البرمجية عن بُعد FortiOS/FortiProxy. وعلى مدار عدة أشهر في عامي 2022 و2023، تمكن المهاجمون من تثبيت برامج ضارة على أجهزة أمان شبكة Fortigate الضعيفة.

قام المهاجمون بنشر برنامج Coathanger RAT على الأجهزة المُخترقة

كما تم اكتشاف البرنامج الخبيث Coathanger Remote Access Trojan (RAT)، الذي تم اكتشافه في الهجمات، على شبكة تابعة لوزارة الدفاع الهولندية، وتستخدم خصيصًا للبحث والتطوير (R&D) في مشاريع غير مصنفة. لحسن الحظ، بسبب تجزئة الشبكة، تم منع المهاجمين من اختراق الأنظمة الأخرى.

تم استخدام هذه السلالة من البرامج الضارة التي لم يتم الكشف عنها سابقًا، والقادرة على الاستمرار من خلال إعادة تشغيل النظام وترقية البرامج الثابتة، من قبل مجموعة قرصنة صينية ترعاها الدولة في حملة تجسس سياسي تستهدف هولندا وحلفائها. وقد منح هذا الجهة الفاعلة التابعة للدولة إمكانية الوصول المستمر إلى الأنظمة المخترقة. وحتى مع تثبيت التحديثات الأمنية من FortiGate، يحتفظ ممثل الدولة بهذا الوصول.

لا يزال العدد الدقيق للضحايا الذين تم تثبيت البرامج الضارة غير معروف. ومع ذلك، يتوقع الباحثون أن الجهة الحكومية يمكنها توسيع نطاق وصولها إلى مئات الضحايا في جميع أنحاء العالم، مما يتيح المزيد من الإجراءات مثل سرقة البيانات.

ربما لا يزال بإمكان مجرمي الإنترنت الوصول إلى الأجهزة المخترقة

منذ فبراير، تم الكشف عن أن مجموعة تهديد صينية تمكنت من الوصول إلى أكثر من 20000 نظام FortiGate في جميع أنحاء العالم بين عامي 2022 و2023، وامتدت لعدة أشهر، قبل شهرين على الأقل من كشف Fortinet عن الثغرة الأمنية CVE-2022-42475.

ويشير MIVD إلى أن المتسللين الصينيين من المحتمل أن يحتفظوا بإمكانية الوصول إلى العديد من الضحايا لأن البرنامج الخبيث Coathanger ماهر في تجنب الكشف عن طريق اعتراض مكالمات النظام، مما يجعل من الصعب التعرف على وجوده. علاوة على ذلك، فهو مرن للإزالة ويصمد أمام ترقيات البرامج الثابتة. تم استغلال CVE-2022-42475 كثغرة أمنية يوم الصفر، والتي تستهدف في المقام الأول المؤسسات الحكومية والكيانات التابعة لها، كما تم الكشف عنها في يناير 2023.

تشترك هذه الهجمات في أوجه تشابه مذهلة مع حملة قرصنة صينية أخرى ركزت على استغلال أجهزة SonicWall Secure Mobile Access (SMA) غير المصححة، باستخدام برامج التجسس عبر الإنترنت المصممة للاستمرار من خلال ترقيات البرامج الثابتة.