Chyba zabezpečení CVE-2022-42475

V letech 2022 až 2023 státem podporovaní aktéři hrozeb napojení na Čínu infiltrovali 20 000 systémů Fortinet FortiGate po celém světě tím, že využili známou kritickou bezpečnostní chybu. Toto porušení odhaluje širší dopad, než se dříve připouštělo.

Státní aktér odpovědný za tuto operaci si byl vědom zranitelnosti systémů FortiGate nejméně dva měsíce předtím, než ji Fortinet odhalil. Během tohoto období, známého jako zero-day window, herec úspěšně kompromitoval 14 000 zařízení.

Podle společné zprávy Nizozemské vojenské zpravodajské a bezpečnostní služby (MIVD) a Všeobecné zpravodajské a bezpečnostní služby (AIVD) z počátku roku 2024 zneužili čínští hackeři CVE-2022-42475, kritickou zranitelnost pro vzdálené spouštění kódu FortiOS/FortiProxy. Během několika měsíců v letech 2022 a 2023 se útočníkům podařilo nainstalovat malware na zranitelná zařízení pro zabezpečení sítě Fortigate.

Útočníci nasadili Coatanger RAT na kompromitovaná zařízení

Malware Coathanger Remote Access Trojan (RAT), objevený při útocích, byl také detekován v síti patřící nizozemskému ministerstvu obrany, konkrétně používané pro výzkum a vývoj (R&D) na neutajovaných projektech. Naštěstí díky segmentaci sítě bylo útočníkům zabráněno proniknout do jiných systémů.

Tento dříve nezveřejněný kmen malwaru, schopný přetrvávat přes restartování systému a upgrady firmwaru, použila čínská státem sponzorovaná hackerská skupina v politické špionážní kampani zaměřené na Nizozemsko a jeho spojence. To umožnilo státnímu aktérovi trvalý přístup k napadeným systémům. I když jsou bezpečnostní aktualizace nainstalované z FortiGate, státní činitel tento přístup zachovává.

Přesný počet obětí s nainstalovaným malwarem zůstává neznámý. Vědci však spekulují, že státní činitel by mohl potenciálně rozšířit jejich přístup ke stovkám obětí po celém světě, což by umožnilo další akce, jako je krádež dat.

Kyberzločinci mohou mít stále přístup k narušeným zařízením

Od února vyšlo najevo, že čínská skupina hrozeb získala v letech 2022 až 2023 přístup k více než 20 000 systémům FortiGate po celém světě, což trvalo několik měsíců, alespoň dva měsíce předtím, než společnost Fortinet odhalila zranitelnost CVE-2022-42475.

MIVD naznačuje, že čínští hackeři si pravděpodobně udrží přístup k mnoha obětem, protože malware Coathanger je zběhlý v tom, jak se vyhnout detekci zachycováním systémových volání, což ztěžuje identifikaci jeho přítomnosti. Navíc je odolný vůči odstranění a přežije upgrady firmwaru. CVE-2022-42475 byla zneužita jako zranitelnost zero-day, primárně zaměřená na vládní organizace a přidružené subjekty, jak bylo odhaleno v lednu 2023.

Tyto útoky mají nápadnou podobnost s jinou čínskou hackerskou kampaní, která se zaměřovala na využívání neopravených zařízení SonicWall Secure Mobile Access (SMA) pomocí kybernetického špionážního malwaru navrženého tak, aby přetrvával i přes upgrady firmwaru.