آسیب پذیری CVE-2022-42475

بین سال‌های 2022 تا 2023، عوامل تهدید تحت حمایت دولتی مرتبط با چین با بهره‌برداری از یک نقص امنیتی حیاتی شناخته شده به 20000 سیستم Fortinet FortiGate در سطح جهان نفوذ کردند. این نقض تأثیر گسترده‌تری نسبت به آنچه قبلاً تأیید شده بود نشان می‌دهد.

بازیگر دولتی مسئول این عملیات حداقل دو ماه قبل از افشای آن توسط فورتی نت از آسیب پذیری سیستم های فورتی گیت آگاه بود. در این دوره که به عنوان پنجره روز صفر شناخته می شود، این بازیگر با موفقیت 14000 دستگاه را به خطر انداخت.

بر اساس گزارش مشترک سرویس اطلاعات و امنیت نظامی هلند (MIVD) و سرویس اطلاعات و امنیت عمومی (AIVD) در اوایل سال 2024، هکرهای چینی از CVE-2022-42475، یک آسیب پذیری حیاتی اجرای کد راه دور FortiOS/FortiProxy سوء استفاده کردند. طی چندین ماه در سال‌های 2022 و 2023، مهاجمان موفق به نصب بدافزار بر روی دستگاه‌های امنیتی شبکه Fortigate آسیب‌پذیر شدند.

مهاجمان RAT Coathanger را در دستگاه های در معرض خطر مستقر کردند

بدافزار Coathanger Remote Access Trojan (RAT) که در این حملات کشف شد، همچنین در شبکه‌ای متعلق به وزارت دفاع هلند شناسایی شد که به طور خاص برای تحقیق و توسعه (R&D) در پروژه‌های طبقه‌بندی نشده استفاده می‌شود. خوشبختانه به دلیل تقسیم بندی شبکه، از نفوذ مهاجمان به سیستم های دیگر جلوگیری شد.

این نوع بدافزار که قبلاً فاش نشده بود، که می‌توانست از طریق راه‌اندازی مجدد سیستم و ارتقاء سیستم‌افزار ادامه یابد، توسط یک گروه هکری تحت حمایت دولت چین در یک کمپین جاسوسی سیاسی با هدف هدف قرار دادن هلند و متحدانش استفاده شد. این امر به بازیگر دولتی امکان دسترسی مداوم به سیستم های در معرض خطر را می داد. حتی با به‌روزرسانی‌های امنیتی نصب‌شده از FortiGate، بازیگر دولتی این دسترسی را حفظ می‌کند.

تعداد دقیق قربانیان با بدافزار نصب شده ناشناخته باقی مانده است. با این حال، محققان حدس می زنند که بازیگر دولتی به طور بالقوه می تواند دسترسی خود را به صدها قربانی در سراسر جهان گسترش دهد و اقدامات بعدی مانند سرقت اطلاعات را امکان پذیر کند.

ممکن است مجرمان سایبری همچنان به دستگاه های نقض شده دسترسی داشته باشند

از ماه فوریه، مشخص شد که یک گروه تهدید چینی بین سال‌های 2022 تا 2023 به بیش از 20000 سیستم فورتی‌گیت در سراسر جهان دسترسی پیدا کرده است، که چند ماه طول می‌کشد، حداقل دو ماه قبل از اینکه فورتینت آسیب‌پذیری CVE-2022-42475 را فاش کند.

MIVD نشان می‌دهد که هکرهای چینی احتمالاً دسترسی به قربانیان متعددی را حفظ می‌کنند، زیرا بدافزار Coathanger در فرار از شناسایی با رهگیری تماس‌های سیستم مهارت دارد و شناسایی حضور آن را دشوار می‌کند. علاوه بر این، در برابر حذف انعطاف پذیر است و از ارتقاء سیستم عامل زنده می ماند. همانطور که در ژانویه 2023 فاش شد، CVE-2022-42475 به عنوان یک آسیب‌پذیری روز صفر مورد سوء استفاده قرار گرفت و در درجه اول سازمان‌های دولتی و نهادهای وابسته را هدف قرار داد.

این حملات شباهت های قابل توجهی با یک کمپین هک چینی دیگر دارند که بر روی بهره برداری از دستگاه های دسترسی ایمن موبایل (SMA) وصله نشده SonicWall متمرکز شده است، با استفاده از بدافزار جاسوسی سایبری طراحی شده برای ادامه از طریق ارتقاء سیستم عامل.