CVE-2022-42475 Уязвимост

Между 2022 г. и 2023 г. спонсорирани от държавата заплахи, свързани с Китай, са проникнали в 20 000 системи Fortinet FortiGate в световен мащаб, използвайки известен критичен пропуск в сигурността. Това нарушение разкрива по-широко въздействие от признаваното преди.

Държавният участник, отговорен за тази операция, вече беше наясно с уязвимостта в системите на FortiGate поне два месеца преди да бъде разкрита от Fortinet. През този период, известен като прозореца на нулевия ден, актьорът успешно компрометира 14 000 устройства.

Според съвместен доклад на Холандската служба за военно разузнаване и сигурност (MIVD) и Службата за общо разузнаване и сигурност (AIVD) в началото на 2024 г., китайски хакери са използвали CVE-2022-42475, критична уязвимост при отдалечено изпълнение на код на FortiOS/FortiProxy. В продължение на няколко месеца през 2022 г. и 2023 г. нападателите успяха да инсталират зловреден софтуер на уязвими устройства за мрежова сигурност на Fortigate.

Нападателите са разположили Coathanger RAT на компрометирани устройства

Зловреден софтуер Coathanger Remote Access Trojan (RAT), открит при атаките, също беше открит в мрежа, принадлежаща на холандското министерство на отбраната, специално използвана за научноизследователска и развойна дейност (R&D) на некласифицирани проекти. За щастие, поради сегментацията на мрежата, атакуващите бяха предотвратени от проникване в други системи.

Този неразкрит досега вид злонамерен софтуер, способен да се запази чрез рестартиране на системата и надграждане на фърмуера, е използван от спонсорирана от китайската държава хакерска група в кампания за политически шпионаж, насочена към Холандия и нейните съюзници. Това предостави на държавния актьор постоянен достъп до компрометираните системи. Дори и с актуализации за защита, инсталирани от FortiGate, актьорът на състоянието поддържа този достъп.

Точният брой на жертвите с инсталиран зловреден софтуер остава неизвестен. Изследователите обаче спекулират, че държавният актьор може потенциално да разшири достъпа си до стотици жертви по целия свят, позволявайки допълнителни действия като кражба на данни.

Киберпрестъпниците може все още да имат достъп до пробитите устройства

От февруари стана ясно, че китайска заплашителна група е получила достъп до над 20 000 системи FortiGate по света между 2022 и 2023 г., обхващащи няколко месеца, най-малко два месеца преди Fortinet да разкрие уязвимостта CVE-2022-42475.

MIVD предполага, че китайските хакери вероятно поддържат достъп до множество жертви, тъй като злонамереният софтуер Coathanger умее да избягва откриването чрез прихващане на системни повиквания, което прави присъствието му трудно за идентифициране. Освен това, той е устойчив на премахване и оцелява при надстройки на фърмуера. CVE-2022-42475 беше използван като уязвимост от нулев ден, насочена предимно към правителствени организации и свързани лица, както беше разкрито през януари 2023 г.

Тези атаки споделят поразителни прилики с друга китайска хакерска кампания, която се фокусира върху използването на устройства SonicWall Secure Mobile Access (SMA) без корекции, използвайки злонамерен софтуер за кибершпионаж, предназначен да продължи чрез надстройки на фърмуера.