CVE-2022-42475 Sebezhetőség

2022 és 2023 között a Kínához köthető, államilag támogatott fenyegetés szereplői 20 000 Fortinet FortiGate rendszerbe hatoltak be világszerte egy ismert kritikus biztonsági hiba kihasználásával. Ez a jogsértés a korábban elismertnél szélesebb hatást fed fel.

A műveletért felelős állami szereplő már legalább két hónappal azelőtt tisztában volt a FortiGate rendszerek sebezhetőségével, hogy azt a Fortinet nyilvánosságra hozta. Ez alatt a nulladik napi ablakként emlegetett időszak alatt a színész 14 000 eszközt veszélyeztetett sikeresen.

A Holland Katonai Hírszerző és Biztonsági Szolgálat (MIVD) és az Általános Hírszerzési és Biztonsági Szolgálat (AIVD) 2024 elején készített közös jelentése szerint a kínai hackerek kihasználták a CVE-2022-42475-öt, a FortiOS/FortiProxy távoli kódfuttatást okozó kritikus biztonsági rést. 2022-ben és 2023-ban több hónapon keresztül a támadóknak sikerült rosszindulatú programokat telepíteniük a sebezhető Fortigate hálózati biztonsági készülékekre.

A támadók a Coathanger RAT-ot telepítették a kompromittált eszközökre

A támadásokban felfedezett Coathanger Remote Access Trojan (RAT) kártevőt a holland védelmi minisztériumhoz tartozó hálózaton is észlelték, amelyet kifejezetten nem minősített projektek kutatás-fejlesztésére (K+F) használtak. Szerencsére a hálózati szegmentáció miatt a támadók nem tudtak behatolni más rendszerekbe.

Ezt a korábban nem titkolt, rendszer-újraindítások és firmware-frissítések révén fennmaradni képes rosszindulatú programokat egy kínai államilag támogatott hackercsoport alkalmazta egy Hollandiát és szövetségeseit célzó politikai kémkampányban. Ez az állami szereplő számára folyamatos hozzáférést biztosított a kompromittált rendszerekhez. Még a FortiGate-ből telepített biztonsági frissítések esetén is az állami szereplő fenntartja ezt a hozzáférést.

A kártevő telepített áldozatainak pontos száma továbbra sem ismert. A kutatók azonban azt feltételezik, hogy az állami szereplő potenciálisan kiterjesztheti hozzáférését több száz áldozatra világszerte, lehetővé téve további intézkedések, például adatlopások végrehajtását.

A kiberbűnözők továbbra is hozzáférhetnek a feltört eszközökhöz

Február óta napvilágra került, hogy egy kínai fenyegetettségi csoport több mint 20 000 FortiGate rendszerhez jutott világszerte 2022 és 2023 között, több hónapon keresztül, legalább két hónappal azelőtt, hogy a Fortinet nyilvánosságra hozta a CVE-2022-42475 biztonsági rést.

A MIVD azt sugallja, hogy a kínai hackerek valószínűleg továbbra is hozzáférhetnek számos áldozathoz, mivel a Coathanger malware ügyesen kikerüli az észlelést a rendszerhívások elfogásával, ami megnehezíti jelenlétének azonosítását. Ezenkívül ellenáll az eltávolításnak, és túléli a firmware-frissítéseket. A CVE-2022-42475-öt nulladik napi sebezhetőségként használták ki, elsősorban kormányzati szervezeteket és kapcsolt szervezeteket célozva, amint az 2023 januárjában kiderült.

Ezek a támadások megdöbbentő hasonlóságot mutatnak egy másik kínai hackerkampánnyal, amely a SonicWall Secure Mobile Access (SMA) javítatlan eszközeinek kiaknázására összpontosított, és a firmware-frissítéseken keresztül fennmaradó kiberkémkedést célzó kártevőket használ.