CVE-2022-42475 Ranjivost

Između 2022. i 2023., državno sponzorirani akteri prijetnji povezani s Kinom infiltrirali su se u 20.000 Fortinet FortiGate sustava širom svijeta iskorištavanjem poznatog kritičnog sigurnosnog propusta. Ovo kršenje otkriva širi učinak nego što se prije priznavalo.

Državni akter odgovoran za ovu operaciju već je bio svjestan ranjivosti u FortiGate sustavima najmanje dva mjeseca prije nego što ju je Fortinet otkrio. Tijekom tog razdoblja, poznatog kao prozor nultog dana, glumac je uspješno kompromitirao 14.000 uređaja.

Prema zajedničkom izvješću Nizozemske vojne obavještajne i sigurnosne službe (MIVD) i Opće obavještajne i sigurnosne službe (AIVD) početkom 2024., kineski hakeri iskoristili su CVE-2022-42475, kritičnu ranjivost FortiOS/FortiProxy daljinskog izvršavanja koda. Tijekom nekoliko mjeseci 2022. i 2023. napadači su uspjeli instalirati zlonamjerni softver na ranjive Fortigate mrežne sigurnosne uređaje.

Napadači su postavili Coathanger RAT na kompromitirane uređaje

Zlonamjerni softver Coathanger Remote Access Trojan (RAT), otkriven u napadima, također je otkriven na mreži koja pripada nizozemskom Ministarstvu obrane, a koja se posebno koristi za istraživanje i razvoj (R&D) na neklasificiranim projektima. Srećom, zbog segmentacije mreže napadači su spriječeni da se infiltriraju u druge sustave.

Ovu dosad neobjavljenu vrstu zlonamjernog softvera, sposobnu opstati kroz ponovna pokretanja sustava i nadogradnje firmvera, koristila je hakerska skupina koju sponzorira kineska država u kampanji političke špijunaže usmjerene na Nizozemsku i njezine saveznike. To je državnom akteru omogućilo trajni pristup ugroženim sustavima. Čak i sa sigurnosnim ažuriranjima instaliranim s FortiGate-a, akter stanja zadržava ovaj pristup.

Točan broj žrtava s instaliranim zlonamjernim softverom ostaje nepoznat. Međutim, istraživači nagađaju da bi državni akter potencijalno mogao proširiti svoj pristup stotinama žrtava diljem svijeta, omogućujući daljnje radnje poput krađe podataka.

Kibernetički kriminalci možda još uvijek imaju pristup oštećenim uređajima

Od veljače je izašlo na vidjelo da je kineska skupina prijetnji dobila pristup više od 20.000 FortiGate sustava širom svijeta između 2022. i 2023., u razdoblju od nekoliko mjeseci, najmanje dva mjeseca prije nego što je Fortinet otkrio ranjivost CVE-2022-42475.

MIVD sugerira da kineski hakeri vjerojatno održavaju pristup brojnim žrtvama jer je zlonamjerni softver Coathanger vješt u izbjegavanju otkrivanja presretanjem sistemskih poziva, zbog čega je njegovu prisutnost teško identificirati. Štoviše, otporan je na uklanjanje i preživljava nadogradnje firmvera. CVE-2022-42475 iskorišten je kao ranjivost nultog dana, primarno usmjerena na vladine organizacije i pridružene subjekte, kao što je otkriveno u siječnju 2023.

Ovi napadi dijele nevjerojatne sličnosti s drugom kineskom hakerskom kampanjom koja se usredotočila na iskorištavanje nezakrpanih SonicWall Secure Mobile Access (SMA) uređaja, korištenjem zlonamjernog softvera za cyber špijunažu dizajniranog da opstane kroz nadogradnje firmvera.