CVE-2022-42475 Vulnerabilità

Tra il 2022 e il 2023, gli autori di minacce sponsorizzate dallo stato legate alla Cina si sono infiltrati in 20.000 sistemi Fortinet FortiGate a livello globale sfruttando una nota falla di sicurezza critica. Questa violazione rivela un impatto più ampio di quanto precedentemente riconosciuto.

L’attore statale responsabile di questa operazione era già a conoscenza della vulnerabilità dei sistemi FortiGate almeno due mesi prima che fosse divulgata da Fortinet. Durante questo periodo, noto come finestra zero-day, l’attore ha compromesso con successo 14.000 dispositivi.

Secondo un rapporto congiunto del Servizio di intelligence e sicurezza militare olandese (MIVD) e del Servizio di intelligence e sicurezza generale (AIVD) all’inizio del 2024, gli hacker cinesi hanno sfruttato CVE-2022-42475, una vulnerabilità critica relativa all’esecuzione di codice remoto di FortiOS/FortiProxy. Per diversi mesi, nel 2022 e nel 2023, gli aggressori sono riusciti a installare malware sui dispositivi di sicurezza di rete Fortigate vulnerabili.

Gli aggressori hanno utilizzato il Coathanger RAT sui dispositivi compromessi

Il malware Coathanger Remote Access Trojan (RAT), scoperto negli attacchi, è stato rilevato anche su una rete appartenente al Ministero della Difesa olandese, utilizzato specificamente per la ricerca e sviluppo (R&S) su progetti non classificati. Fortunatamente, grazie alla segmentazione della rete, agli aggressori è stato impedito di infiltrarsi in altri sistemi.

Questo ceppo di malware precedentemente sconosciuto, capace di persistere attraverso il riavvio del sistema e gli aggiornamenti del firmware, è stato utilizzato da un gruppo di hacker sponsorizzato dallo stato cinese in una campagna di spionaggio politico contro i Paesi Bassi e i suoi alleati. Ciò ha garantito all’attore statale un accesso permanente ai sistemi compromessi. Anche con gli aggiornamenti di sicurezza installati da FortiGate, l'attore statale mantiene questo accesso.

Il numero esatto delle vittime con il malware installato rimane sconosciuto. Tuttavia, i ricercatori ipotizzano che l’attore statale potrebbe potenzialmente estendere il proprio accesso a centinaia di vittime in tutto il mondo, consentendo ulteriori azioni come il furto di dati.

I criminali informatici potrebbero ancora avere accesso ai dispositivi violati

Da febbraio è emerso che un gruppo di minacce cinese ha avuto accesso a oltre 20.000 sistemi FortiGate in tutto il mondo tra il 2022 e il 2023, nell'arco di diversi mesi, almeno due mesi prima che Fortinet rivelasse la vulnerabilità CVE-2022-42475.

Il MIVD suggerisce che gli hacker cinesi probabilmente mantengono l’accesso a numerose vittime perché il malware Coathanger è abile nell’eludere il rilevamento intercettando le chiamate di sistema, rendendo difficile l’identificazione della sua presenza. Inoltre, è resistente alla rimozione e sopravvive agli aggiornamenti del firmware. CVE-2022-42475 è stata sfruttata come vulnerabilità zero-day, prendendo di mira principalmente organizzazioni governative ed entità affiliate, come rivelato nel gennaio 2023.

Questi attacchi condividono sorprendenti somiglianze con un’altra campagna di hacking cinese incentrata sullo sfruttamento delle apparecchiature SonicWall Secure Mobile Access (SMA) prive di patch, utilizzando malware di spionaggio informatico progettati per persistere attraverso gli aggiornamenti del firmware.