CVE-2022-42475 Sårbarhed

Mellem 2022 og 2023 infiltrerede statssponsorerede trusselsaktører knyttet til Kina 20.000 Fortinet FortiGate-systemer globalt ved at udnytte en kendt kritisk sikkerhedsbrist. Dette brud afslører en bredere virkning end tidligere anerkendt.

Den statslige aktør, der er ansvarlig for denne operation, var allerede klar over sårbarheden i FortiGate-systemer mindst to måneder før den blev afsløret af Fortinet. I denne periode, kendt som nul-dages vinduet, kom skuespilleren med succes med at kompromittere 14.000 enheder.

Ifølge en fælles rapport fra den hollandske militære efterretnings- og sikkerhedstjeneste (MIVD) og den generelle efterretnings- og sikkerhedstjeneste (AIVD) i begyndelsen af 2024, udnyttede kinesiske hackere CVE-2022-42475, en kritisk sårbarhed i FortiOS/FortiProxy fjernudførelse af kode. I løbet af flere måneder i 2022 og 2023 lykkedes det angriberne at installere malware på sårbare Fortigate-netværkssikkerhedsapparater.

Angriberne indsatte Coathanger RAT til kompromitterede enheder

Coathanger Remote Access Trojan (RAT) malware, opdaget i angrebene, blev også opdaget på et netværk tilhørende det hollandske forsvarsministerium, specifikt brugt til forskning og udvikling (F&U) på uklassificerede projekter. Heldigvis blev angriberne på grund af netværkssegmentering forhindret i at infiltrere andre systemer.

Denne tidligere ukendte malware-stamme, der er i stand til at fortsætte gennem systemgenstart og firmwareopgraderinger, blev brugt af en kinesisk statssponsoreret hackergruppe i en politisk spionagekampagne rettet mod Holland og dets allierede. Dette gav den statslige aktør vedvarende adgang til de kompromitterede systemer. Selv med sikkerhedsopdateringer installeret fra FortiGate, opretholder den statslige aktør denne adgang.

Det nøjagtige antal ofre med malwaren installeret er stadig ukendt. Forskere spekulerer dog i, at den statslige aktør potentielt kan udvide deres adgang til hundredvis af ofre verden over, hvilket muliggør yderligere handlinger såsom datatyveri.

Cyberkriminelle kan stadig have adgang til de overtrådte enheder

Siden februar er det kommet frem, at en kinesisk trusselsgruppe fik adgang til over 20.000 FortiGate-systemer på verdensplan mellem 2022 og 2023, der spænder over flere måneder, mindst to måneder før Fortinet afslørede CVE-2022-42475-sårbarheden.

MIVD foreslår, at kinesiske hackere sandsynligvis bevarer adgangen til adskillige ofre, fordi Coathanger-malwaren er dygtig til at undgå opdagelse ved at opsnappe systemopkald, hvilket gør dens tilstedeværelse vanskelig at identificere. Desuden er den modstandsdygtig over for fjernelse og overlever firmwareopgraderinger. CVE-2022-42475 blev udnyttet som en nul-dages sårbarhed, primært rettet mod statslige organisationer og tilknyttede enheder, som afsløret i januar 2023.

Disse angreb deler slående ligheder med en anden kinesisk hacking-kampagne, der fokuserede på at udnytte ikke-patchede SonicWall Secure Mobile Access (SMA)-apparater ved hjælp af cyberspionage-malware designet til at fortsætte gennem firmwareopgraderinger.