CVE-2022-42475 Haavoittuvuus

Vuosina 2022–2023 Kiinaan liittyvät valtion tukemat uhkatoimijat soluttautuivat 20 000 Fortinet FortiGate -järjestelmään maailmanlaajuisesti hyödyntämällä tunnettua kriittistä tietoturvavirhettä. Tällä rikkomuksella on laajempi vaikutus kuin aiemmin on myönnetty.

Tästä operaatiosta vastaava valtion toimija oli tietoinen FortiGate-järjestelmien haavoittuvuudesta jo vähintään kaksi kuukautta ennen kuin Fortinet paljasti sen. Tänä nollapäivänä tunnetun ajanjakson aikana näyttelijä murskasi onnistuneesti 14 000 laitetta.

Hollannin sotilastiedustelu- ja turvallisuuspalvelun (MIVD) ja yleisen tiedustelu- ja turvallisuuspalvelun (AIVD) vuoden 2024 alussa julkaiseman yhteisen raportin mukaan kiinalaiset hakkerit käyttivät hyväkseen CVE-2022-42475:tä, FortiOS/FortiProxy-koodin etäsuorittamisen haavoittuvuutta. Useiden kuukausien aikana vuosina 2022 ja 2023 hyökkääjät onnistuivat asentamaan haittaohjelmia haavoittuviin Fortigate-verkkoturvalaitteisiin.

Hyökkääjät käyttivät Coathanger RAT:ia vaarantuneisiin laitteisiin

Hyökkäyksissä löydetty Coathanger Remote Access Trojan (RAT) -haittaohjelma havaittiin myös Alankomaiden puolustusministeriön verkosta, jota käytettiin erityisesti luokittelemattomien projektien tutkimukseen ja kehitykseen (T&K). Onneksi verkon segmentoinnin ansiosta hyökkääjiä estettiin tunkeutumasta muihin järjestelmiin.

Kiinan valtion tukema hakkerointiryhmä käytti tätä aiemmin julkistamatonta haittaohjelmakantaa, joka pystyi säilymään järjestelmän uudelleenkäynnistyksen ja laiteohjelmiston päivitysten kautta, poliittisessa vakoilukampanjassa, joka kohdistui Alankomaihin ja sen liittolaisiin. Tämä antoi valtion toimijalle jatkuvan pääsyn vaarantuneisiin järjestelmiin. Jopa FortiGatesta asennetuilla tietoturvapäivityksillä valtion toimija ylläpitää tätä pääsyä.

Haittaohjelman asentaneiden uhrien tarkkaa määrää ei tiedetä. Tutkijat kuitenkin spekuloivat, että valtion toimija voisi mahdollisesti laajentaa pääsynsä satoihin uhreihin maailmanlaajuisesti, mikä mahdollistaisi lisätoimia, kuten tietovarkauksia.

Kyberrikollisilla saattaa silti olla pääsy rikottuihin laitteisiin

Helmikuusta lähtien on käynyt ilmi, että kiinalainen uhkaryhmä on saanut pääsyn yli 20 000 FortiGate-järjestelmään maailmanlaajuisesti vuosina 2022–2023 useiden kuukausien aikana, ainakin kaksi kuukautta ennen kuin Fortinet paljasti CVE-2022-42475-haavoittuvuuden.

MIVD ehdottaa, että kiinalaiset hakkerit todennäköisesti säilyttävät pääsyn lukuisiin uhreihin, koska Coathanger-haittaohjelma on taitava välttämään havaitsemisen sieppaamalla järjestelmäkutsut, mikä tekee sen läsnäolon tunnistamisen vaikeaksi. Lisäksi se kestää poistoa ja kestää laiteohjelmistopäivitykset. CVE-2022-42475:tä käytettiin hyväksi nollapäivän haavoittuvuutena, ja se kohdistui ensisijaisesti valtion organisaatioihin ja niihin liittyviin tahoihin, kuten tammikuussa 2023 paljastettiin.

Näillä hyökkäyksillä on silmiinpistäviä yhtäläisyyksiä toisen kiinalaisen hakkerointikampanjan kanssa, joka keskittyi korjaamattomien SonicWall Secure Mobile Access (SMA) -laitteiden hyödyntämiseen käyttämällä kybervakoiluhaittaohjelmia, jotka on suunniteltu kestämään laiteohjelmistopäivityksiä.