CVE-2022-42475 भेद्यता

2022 और 2023 के बीच, चीन से जुड़े राज्य प्रायोजित ख़तरा पैदा करने वाले तत्वों ने ज्ञात महत्वपूर्ण सुरक्षा दोष का फ़ायदा उठाकर वैश्विक स्तर पर 20,000 फ़ोर्टिनेट फ़ोर्टिगेट सिस्टम में घुसपैठ की। यह उल्लंघन पहले से स्वीकार किए गए प्रभाव से कहीं अधिक व्यापक प्रभाव को दर्शाता है।

इस ऑपरेशन के लिए जिम्मेदार स्टेट एक्टर को फोर्टिनेट द्वारा इसका खुलासा किए जाने से कम से कम दो महीने पहले ही फोर्टीगेट सिस्टम में भेद्यता के बारे में पता चल गया था। इस अवधि के दौरान, जिसे जीरो-डे विंडो के रूप में जाना जाता है, एक्टर ने 14,000 डिवाइस को सफलतापूर्वक खतरे में डाला।

डच मिलिट्री इंटेलिजेंस एंड सिक्योरिटी सर्विस (MIVD) और जनरल इंटेलिजेंस एंड सिक्योरिटी सर्विस (AIVD) की 2024 की शुरुआत में एक संयुक्त रिपोर्ट के अनुसार, चीनी हैकर्स ने CVE-2022-42475 का फायदा उठाया, जो कि एक महत्वपूर्ण FortiOS/FortiProxy रिमोट कोड निष्पादन भेद्यता है। 2022 और 2023 में कई महीनों में, हमलावर कमजोर Fortigate नेटवर्क सुरक्षा उपकरणों पर मैलवेयर स्थापित करने में कामयाब रहे।

हमलावरों ने समझौता किए गए उपकरणों पर कोटहैंगर आरएटी को तैनात किया

हमलों में पाया गया कोटहैंगर रिमोट एक्सेस ट्रोजन (आरएटी) मैलवेयर डच रक्षा मंत्रालय के नेटवर्क पर भी पाया गया, जिसका इस्तेमाल विशेष रूप से अवर्गीकृत परियोजनाओं पर अनुसंधान और विकास (आरएंडडी) के लिए किया जाता है। सौभाग्य से, नेटवर्क विभाजन के कारण, हमलावरों को अन्य सिस्टम में घुसपैठ करने से रोक दिया गया।

यह पहले से अज्ञात मैलवेयर स्ट्रेन, सिस्टम रीबूट और फ़र्मवेयर अपग्रेड के माध्यम से बने रहने में सक्षम है, जिसका इस्तेमाल नीदरलैंड और उसके सहयोगियों को लक्षित करने वाले राजनीतिक जासूसी अभियान में एक चीनी राज्य-प्रायोजित हैकिंग समूह द्वारा किया गया था। इसने राज्य अभिनेता को समझौता किए गए सिस्टम तक लगातार पहुंच प्रदान की। फोर्टीगेट से सुरक्षा अपडेट इंस्टॉल होने के बाद भी, राज्य अभिनेता इस पहुंच को बनाए रखता है।

मैलवेयर इंस्टॉल करने वाले पीड़ितों की सटीक संख्या अज्ञात है। हालांकि, शोधकर्ताओं का अनुमान है कि सरकारी अभिनेता संभावित रूप से दुनिया भर में सैकड़ों पीड़ितों तक अपनी पहुंच बढ़ा सकते हैं, जिससे डेटा चोरी जैसी अन्य कार्रवाइयां संभव हो सकती हैं।

साइबर अपराधियों के पास अभी भी चोरी हुए डिवाइस तक पहुंच हो सकती है

फरवरी से अब तक यह बात प्रकाश में आई है कि एक चीनी खतरा समूह ने 2022 और 2023 के बीच दुनिया भर में 20,000 से अधिक फोर्टीगेट सिस्टम तक पहुंच प्राप्त कर ली है, जो कि फोर्टिनेट द्वारा CVE-2022-42475 भेद्यता का खुलासा करने से कम से कम दो महीने पहले की अवधि में कई महीनों तक चली।

MIVD का सुझाव है कि चीनी हैकर्स संभवतः कई पीड़ितों तक पहुँच बनाए रखते हैं क्योंकि कोथेंजर मैलवेयर सिस्टम कॉल को इंटरसेप्ट करके पता लगाने से बचने में माहिर है, जिससे इसकी उपस्थिति को पहचानना मुश्किल हो जाता है। इसके अलावा, इसे हटाना आसान है और फ़र्मवेयर अपग्रेड से बच जाता है। CVE-2022-42475 को जीरो-डे भेद्यता के रूप में इस्तेमाल किया गया था, जो मुख्य रूप से सरकारी संगठनों और संबद्ध संस्थाओं को लक्षित करता था, जैसा कि जनवरी 2023 में पता चला था।

ये हमले एक अन्य चीनी हैकिंग अभियान से काफी मिलते-जुलते हैं, जो फर्मवेयर अपग्रेड के माध्यम से बने रहने के लिए डिज़ाइन किए गए साइबर जासूसी मैलवेयर का उपयोग करके, बिना पैच वाले सोनिकवॉल सिक्योर मोबाइल एक्सेस (एसएमए) उपकरणों का शोषण करने पर केंद्रित था।