Vulnerabilitat CVE-2022-42475

Entre el 2022 i el 2023, actors d'amenaces patrocinats per l'estat vinculats a la Xina es van infiltrar en 20.000 sistemes Fortinet FortiGate a tot el món aprofitant una fallada de seguretat crítica coneguda. Aquest incompliment revela un impacte més ampli del que es reconeixia anteriorment.

L'actor estatal responsable d'aquesta operació ja era conscient de la vulnerabilitat dels sistemes FortiGate almenys dos mesos abans que Fortinet la divulgés. Durant aquest període, conegut com la finestra de dia zero, l'actor va comprometre amb èxit 14.000 dispositius.

Segons un informe conjunt del Servei d'Intel·ligència i Seguretat Militar holandès (MIVD) i el Servei General d'Intel·ligència i Seguretat (AIVD) a principis de 2024, els pirates informàtics xinesos van explotar CVE-2022-42475, una vulnerabilitat crítica d'execució de codi remota FortiOS/FortiProxy. Durant diversos mesos el 2022 i el 2023, els atacants van aconseguir instal·lar programari maliciós en dispositius de seguretat de xarxa Fortigate vulnerables.

Els atacants van desplegar el Coathanger RAT a dispositius compromesos

El malware Coathanger Remote Access Trojan (RAT), descobert en els atacs, també es va detectar en una xarxa pertanyent al Ministeri de Defensa holandès, utilitzada específicament per a la investigació i desenvolupament (R+D) en projectes no classificats. Afortunadament, a causa de la segmentació de la xarxa, els atacants no podien infiltrar-se en altres sistemes.

Aquesta soca de programari maliciós no revelada prèviament, capaç de persistir mitjançant reinicis del sistema i actualitzacions de microprogramari, va ser emprada per un grup de pirateria xinès patrocinat per l'estat en una campanya d'espionatge polític dirigida als Països Baixos i els seus aliats. Això va concedir a l'actor estatal un accés persistent als sistemes compromesos. Fins i tot amb les actualitzacions de seguretat instal·lades des de FortiGate, l'actor estatal manté aquest accés.

Es desconeix el nombre exacte de víctimes amb el programari maliciós instal·lat. No obstant això, els investigadors especulen que l'actor estatal podria ampliar el seu accés a centenars de víctimes a tot el món, permetent més accions com el robatori de dades.

Els ciberdelinqüents encara poden tenir accés als dispositius violats

Des del febrer, ha sortit a la llum que un grup d'amenaces xinès va tenir accés a més de 20.000 sistemes FortiGate a tot el món entre el 2022 i el 2023, durant diversos mesos, almenys dos mesos abans que Fortinet revelés la vulnerabilitat CVE-2022-42475.

El MIVD suggereix que els pirates informàtics xinesos probablement mantenen l'accés a nombroses víctimes perquè el programari maliciós Coathanger és capaç d'evadir la detecció interceptant trucades del sistema, cosa que fa que la seva presència sigui difícil d'identificar. A més, és resistent a l'eliminació i sobreviu a les actualitzacions de firmware. CVE-2022-42475 es va explotar com una vulnerabilitat de dia zero, dirigida principalment a organitzacions governamentals i entitats afiliades, tal com es va revelar el gener de 2023.

Aquests atacs comparteixen similituds sorprenents amb una altra campanya de pirateria xinesa que es va centrar en l'explotació d'aparells SonicWall Secure Mobile Access (SMA) sense pegats, utilitzant programari maliciós de ciberespionatge dissenyat per persistir mitjançant actualitzacions de microprogramari.