CVE-2022-42475 פגיעות

בין 2022 ל-2023, גורמי איומים בחסות המדינה הקשורים לסין חדרו ל-20,000 מערכות Fortinet FortiGate ברחבי העולם על ידי ניצול פגם אבטחה קריטי ידוע. הפרה זו חושפת השפעה רחבה יותר ממה שהוכר בעבר.

השחקן הממלכתי האחראי על הפעולה הזו כבר היה מודע לפגיעות במערכות FortiGate לפחות חודשיים לפני שנחשפה על ידי Fortinet. במהלך תקופה זו, המכונה חלון האפס יום, השחקן התפשר בהצלחה על 14,000 מכשירים.

על פי דוח משותף של שירות הביון והביטחון הצבאי ההולנדי (MIVD) ושירות הביון והביטחון הכללי (AIVD) בתחילת 2024, האקרים סינים ניצלו את CVE-2022-42475, פגיעות קריטית לביצוע קוד מרחוק של FortiOS/FortiProxy. במשך מספר חודשים בשנים 2022 ו-2023, התוקפים הצליחו להתקין תוכנות זדוניות על מכשירי אבטחה פגיעים ברשת Fortigate.

התוקפים פרסו את ה-Coathanger RAT למכשירים שנפגעו

התוכנה הזדונית Coathanger Remote Access Trojan (RAT), שהתגלתה בהתקפות, זוהתה גם ברשת השייכת למשרד ההגנה ההולנדי, המשמשת במיוחד למחקר ופיתוח (מו"פ) בפרויקטים לא מסווגים. למרבה המזל, עקב פילוח הרשת, נמנעה מהתוקפים לחדור למערכות אחרות.

זן תוכנות זדוניות שלא נחשפו בעבר, המסוגל להימשך באמצעות אתחולים מחדש של המערכת ושדרוגי קושחה, הועסק על ידי קבוצת פריצה בחסות מדינה סינית במסע ריגול פוליטי המכוון להולנד ובעלות בריתה. זה העניק לשחקן המדינה גישה מתמשכת למערכות שנפגעו. אפילו עם עדכוני אבטחה המותקנים מ-FortiGate, השחקן הממלכתי שומר על גישה זו.

המספר המדויק של הקורבנות עם התוכנה הזדונית המותקנת עדיין לא ידוע. עם זאת, חוקרים משערים כי השחקן הממלכתי עשוי להרחיב את הגישה שלהם למאות קורבנות ברחבי העולם, ולאפשר פעולות נוספות כגון גניבת מידע.

לפושעי הסייבר עדיין יש גישה למכשירים שנפרצו

מאז פברואר, התברר כי קבוצת איומים סינית השיגה גישה ליותר מ-20,000 מערכות FortiGate ברחבי העולם בין השנים 2022 ל-2023, בהיקף של מספר חודשים, לפחות חודשיים לפני ש-Fortinet חשפה את הפגיעות CVE-2022-42475.

ה-MIVD מציע שהאקרים סינים ישמרו ככל הנראה על גישה לקורבנות רבים מכיוון שהתוכנה הזדונית Coathanger מיומנת להתחמק מזיהוי על ידי יירוט שיחות מערכת, מה שמקשה על זיהויה. יתר על כן, הוא עמיד להסרה ושורד שדרוגי קושחה. CVE-2022-42475 נוצל כנקודת תורפה של יום אפס, והתמקדה בעיקר בארגונים ממשלתיים וגופים קשורים, כפי שנחשף בינואר 2023.

ההתקפות הללו חולקות קווי דמיון מרשימים עם קמפיין פריצה סיני אחר שהתמקד בניצול מכשירי SonicWall Secure Mobile Access (SMA) ללא תיקונים, תוך שימוש בתוכנה זדונית של ריגול סייבר שנועדה להימשך באמצעות שדרוגי קושחה.