CVE-2022-42475 haavatavus

Aastatel 2022–2023 tungisid Hiinaga seotud riiklikult toetatud ohus osalejad ülemaailmselt 20 000 Fortinet FortiGate'i süsteemi, kasutades ära teadaolevat kriitilist turvaviga. Sellel rikkumisel on laiem mõju, kui varem tunnistati.

Selle operatsiooni eest vastutav osariik oli FortiGate'i süsteemide haavatavusest teadlik juba vähemalt kaks kuud enne selle avalikustamist Fortinetist. Sel perioodil, mida tuntakse nullpäeva aknana, ohustas näitleja edukalt 14 000 seadet.

Hollandi sõjaväeluure- ja julgeolekuteenistuse (MIVD) ning üldise luure- ja julgeolekuteenistuse (AIVD) 2024. aasta alguses koostatud ühisaruande kohaselt kasutasid Hiina häkkerid ära CVE-2022-42475, mis on FortiOS/FortiProxy kaugkäitamise kriitilise haavatavus. Mitme kuu jooksul aastatel 2022 ja 2023 õnnestus ründajatel installida haavatavatesse Fortigate'i võrguturbeseadmetesse pahavara.

Ründajad kasutasid Coathanger RAT-i ohustatud seadmetes

Rünnakute käigus avastatud Coathanger Remote Access Trojan (RAT) pahavara tuvastati ka Hollandi kaitseministeeriumile kuuluvas võrgus, mida kasutati spetsiaalselt salastamata projektide uurimis- ja arendustegevuseks. Õnneks suudeti võrgu segmenteerimise tõttu takistada ründajatel teistesse süsteemidesse imbumist.

Seda varem avaldamata pahavara tüve, mis on võimeline püsima süsteemi taaskäivitamise ja püsivara uuendamise kaudu, kasutas Hiina riiklikult toetatud häkkimisrühmitus poliitilises spionaažikampaanias, mis oli suunatud Hollandile ja selle liitlastele. See andis riigiosalisele püsiva juurdepääsu ohustatud süsteemidele. Isegi FortiGate'ist installitud turvavärskenduste korral säilitab osariigi tegutseja selle juurdepääsu.

Pahavara installitud ohvrite täpne arv on teadmata. Teadlased spekuleerivad aga, et riigiosaline võib potentsiaalselt laiendada oma juurdepääsu sadadele ohvritele kogu maailmas, võimaldades edasisi toiminguid, näiteks andmete vargusi.

Küberkurjategijatel võib endiselt olla juurdepääs rikutud seadmetele

Alates veebruarist on ilmnenud, et Hiina ohurühm sai aastatel 2022–2023 juurdepääsu enam kui 20 000 FortiGate'i süsteemile kogu maailmas, mis hõlmas mitu kuud, vähemalt kaks kuud enne seda, kui Fortinet avalikustas haavatavuse CVE-2022-42475.

MIVD viitab sellele, et Hiina häkkeritel on tõenäoliselt juurdepääs paljudele ohvritele, kuna Coathangeri pahavara suudab süsteemikõnede pealtkuulamisega tuvastamisest kõrvale hiilida, muutes selle olemasolu raskeks tuvastada. Lisaks on see eemaldamise suhtes vastupidav ja püsib püsivara uuendamise korral üle. 2023. aasta jaanuaris selgus, et CVE-2022-42475 kasutati ära nullpäeva haavatavusena, mis oli peamiselt suunatud valitsusasutustele ja sidusüksustele.

Need rünnakud jagavad silmatorkavalt sarnasusi teise Hiina häkkimiskampaaniaga, mis keskendus paigatamata SonicWall Secure Mobile Accessi (SMA) seadmete ärakasutamisele, kasutades küberspionaaži pahavara, mis on loodud püsima püsivara uuendamise ajal.