CVE-2022-42475 দুর্বলতা

2022 এবং 2023 এর মধ্যে, চীনের সাথে যুক্ত রাষ্ট্র-স্পনসর্ড হুমকি অভিনেতারা একটি পরিচিত সমালোচনামূলক নিরাপত্তা ত্রুটিকে কাজে লাগিয়ে বিশ্বব্যাপী 20,000 Fortinet FortiGate সিস্টেমে অনুপ্রবেশ করেছে। এই লঙ্ঘন পূর্বে স্বীকৃত তুলনায় একটি বিস্তৃত প্রভাব প্রকাশ করে।

এই অপারেশনের জন্য দায়ী রাষ্ট্রীয় অভিনেতা FortiGate সিস্টেমের দুর্বলতা সম্পর্কে Fortinet প্রকাশ করার অন্তত দুই মাস আগে থেকেই সচেতন ছিলেন। এই সময়ের মধ্যে, জিরো-ডে উইন্ডো হিসাবে পরিচিত, অভিনেতা সফলভাবে 14,000 ডিভাইসের সাথে আপস করেছেন।

2024 সালের গোড়ার দিকে ডাচ মিলিটারি ইন্টেলিজেন্স অ্যান্ড সিকিউরিটি সার্ভিস (MIVD) এবং জেনারেল ইন্টেলিজেন্স অ্যান্ড সিকিউরিটি সার্ভিস (AIVD) এর যৌথ রিপোর্ট অনুযায়ী, চীনা হ্যাকাররা CVE-2022-42475 কে কাজে লাগিয়েছে, এটি একটি গুরুত্বপূর্ণ FortiOS/FortiProxy রিমোট কোড এক্সিকিউশন দুর্বলতা। 2022 এবং 2023 সালে বেশ কয়েক মাস ধরে, আক্রমণকারীরা দুর্বল ফোরটিগেট নেটওয়ার্ক সুরক্ষা সরঞ্জামগুলিতে ম্যালওয়্যার ইনস্টল করতে সক্ষম হয়েছিল।

আক্রমণকারীরা আপোসকৃত ডিভাইসে কোথাঞ্জার RAT মোতায়েন করেছে

কোথাঞ্জার রিমোট অ্যাকসেস ট্রোজান (আরএটি) ম্যালওয়্যার, আক্রমণে আবিষ্কৃত হয়েছে, ডাচ প্রতিরক্ষা মন্ত্রকের অন্তর্গত একটি নেটওয়ার্কেও শনাক্ত করা হয়েছিল, বিশেষত অশ্রেণীবদ্ধ প্রকল্পগুলিতে গবেষণা ও উন্নয়ন (আরএন্ডডি) এর জন্য ব্যবহৃত হয়৷ সৌভাগ্যবশত, নেটওয়ার্ক বিভাজনের কারণে, আক্রমণকারীদের অন্য সিস্টেমে অনুপ্রবেশ করা থেকে বাধা দেওয়া হয়েছিল।

এই পূর্বে অপ্রকাশিত ম্যালওয়্যার স্ট্রেন, সিস্টেম রিবুট এবং ফার্মওয়্যার আপগ্রেডের মাধ্যমে টিকে থাকতে সক্ষম, নেদারল্যান্ডস এবং এর মিত্রদের লক্ষ্য করে একটি রাজনৈতিক গুপ্তচরবৃত্তি প্রচারে একটি চীনা রাষ্ট্র-স্পন্সরড হ্যাকিং গ্রুপ দ্বারা নিযুক্ত করা হয়েছিল। এটি রাষ্ট্রীয় অভিনেতাকে আপোসকৃত সিস্টেমগুলিতে অবিরাম প্রবেশাধিকার দিয়েছে। এমনকি FortiGate থেকে নিরাপত্তা আপডেট ইনস্টল করা সত্ত্বেও, রাষ্ট্র অভিনেতা এই অ্যাক্সেস বজায় রাখে।

ম্যালওয়্যার ইনস্টল করা আক্রান্তদের সঠিক সংখ্যা অজানা রয়ে গেছে। যাইহোক, গবেষকরা অনুমান করেছেন যে রাষ্ট্রীয় অভিনেতা সম্ভাব্যভাবে বিশ্বব্যাপী শত শত ক্ষতিগ্রস্তদের কাছে তাদের অ্যাক্সেস প্রসারিত করতে পারে, যা ডেটা চুরির মতো আরও ক্রিয়াকলাপকে সক্ষম করে।

সাইবার অপরাধীদের এখনও লঙ্ঘিত ডিভাইসগুলিতে অ্যাক্সেস থাকতে পারে

ফেব্রুয়ারী থেকে, এটি প্রকাশ্যে এসেছে যে একটি চীনা হুমকি গোষ্ঠী 2022 এবং 2023 এর মধ্যে বিশ্বব্যাপী 20,000 টিরও বেশি FortiGate সিস্টেমে অ্যাক্সেস পেয়েছে, কয়েক মাস ধরে, Fortinet CVE-2022-42475 দুর্বলতা প্রকাশ করার অন্তত দুই মাস আগে।

এমআইভিডি পরামর্শ দেয় যে চীনা হ্যাকাররা সম্ভবত অসংখ্য ভিকটিমদের অ্যাক্সেস বজায় রাখতে পারে কারণ কোথাঞ্জার ম্যালওয়্যার সিস্টেম কলগুলিকে বাধা দিয়ে সনাক্তকরণ এড়াতে পারদর্শী, এর উপস্থিতি সনাক্ত করা কঠিন করে তোলে। অধিকন্তু, এটি অপসারণের জন্য স্থিতিস্থাপক এবং ফার্মওয়্যার আপগ্রেড থেকে বেঁচে থাকে। CVE-2022-42475 একটি শূন্য-দিনের দুর্বলতা হিসাবে ব্যবহার করা হয়েছিল, প্রাথমিকভাবে সরকারী সংস্থা এবং অনুমোদিত সংস্থাগুলিকে লক্ষ্য করে, যা 2023 সালের জানুয়ারিতে প্রকাশিত হয়েছিল।

ফার্মওয়্যার আপগ্রেডের মাধ্যমে টিকে থাকার জন্য ডিজাইন করা সাইবার-গুপ্তচরবৃত্তি ম্যালওয়্যার ব্যবহার করে প্যাচবিহীন SonicWall Secure Mobile Access (SMA) অ্যাপ্লায়েন্সগুলিকে কাজে লাগানোর উপর দৃষ্টি নিবদ্ধ করা আরেকটি চীনা হ্যাকিং ক্যাম্পেইনের সাথে এই আক্রমণগুলির উল্লেখযোগ্য মিল রয়েছে৷