CVE-2022-42475 Pažeidžiamumas

2022–2023 m. valstybės remiami grėsmės veikėjai, susiję su Kinija, visame pasaulyje įsiskverbė į 20 000 Fortinet FortiGate sistemų, pasinaudodami žinomu kritiniu saugumo trūkumu. Šis pažeidimas atskleidžia didesnį poveikį, nei buvo pripažinta anksčiau.

Už šią operaciją atsakingas valstybės veikėjas jau žinojo apie „FortiGate“ sistemų pažeidžiamumą likus mažiausiai dviem mėnesiams iki to, kai „Fortinet“ jį atskleidė. Per šį laikotarpį, žinomą kaip nulinės dienos langas, aktorius sėkmingai sukompromitavo 14 000 įrenginių.

Remiantis bendra Nyderlandų karinės žvalgybos ir saugumo tarnybos (MIVD) ir Bendrosios žvalgybos ir saugumo tarnybos (AIVD) ataskaita 2024 m. pradžioje, Kinijos įsilaužėliai išnaudojo CVE-2022-42475, kritinį FortiOS / FortiProxy nuotolinio kodo vykdymo pažeidžiamumą. Per kelis mėnesius 2022 ir 2023 m. užpuolikai sugebėjo įdiegti kenkėjišką programą pažeidžiamuose „Fortigate“ tinklo saugos įrenginiuose.

Užpuolikai įdiegė Coathanger RAT į pažeistus įrenginius

Per atakas aptikta „Coathanger Remote Access Trojan“ (RAT) kenkėjiška programa taip pat buvo aptikta Nyderlandų gynybos ministerijai priklausančiame tinkle, specialiai naudojamame tyrimams ir plėtrai (MTEP) dėl neįslaptintų projektų. Laimei, dėl tinklo segmentacijos užpuolikai negalėjo įsiskverbti į kitas sistemas.

Šią anksčiau neskelbtą kenkėjiškų programų padermę, galinčią išlikti perkraunant sistemą ir atnaujinant programinę įrangą, įdarbino Kinijos valstybės remiama programišių grupė politinio šnipinėjimo kampanijoje, nukreiptoje į Nyderlandus ir jos sąjungininkus. Tai suteikė valstybės veikėjui nuolatinę prieigą prie pažeistų sistemų. Net ir įdiegus saugos naujinimus iš FortiGate, valstybės veikėjas išlaiko šią prieigą.

Tikslus aukų su įdiegta kenkėjiška programa skaičius nežinomas. Tačiau mokslininkai spėja, kad valstybės veikėjas galėtų išplėsti savo prieigą prie šimtų aukų visame pasaulyje, suteikdamas galimybę imtis tolesnių veiksmų, pavyzdžiui, duomenų vagystės.

Kibernetiniai nusikaltėliai vis tiek gali turėti prieigą prie pažeistų įrenginių

Nuo vasario paaiškėjo, kad Kinijos grėsmių grupė 2022–2023 m. gavo prieigą prie daugiau nei 20 000 „FortiGate“ sistemų visame pasaulyje, trukusią kelis mėnesius, likus mažiausiai dviem mėnesiams iki to laiko, kai „Fortinet“ atskleidė CVE-2022-42475 pažeidžiamumą.

MIVD teigia, kad Kinijos įsilaužėliai greičiausiai išsaugo prieigą prie daugybės aukų, nes Coathanger kenkėjiška programa sugeba išvengti aptikimo perimdama sistemos skambučius, todėl jos buvimą sunku nustatyti. Be to, jis yra atsparus pašalinimui ir išlaiko programinės įrangos atnaujinimus. CVE-2022-42475 buvo išnaudotas kaip nulinės dienos pažeidžiamumas, pirmiausia skirtas vyriausybinėms organizacijoms ir susijusiems subjektams, kaip buvo atskleista 2023 m. sausio mėn.

Šios atakos turi stulbinančių panašumų su kita Kinijos įsilaužimo kampanija, kurios tikslas buvo išnaudoti nepataisytus SonicWall Secure Mobile Access (SMA) įrenginius, naudojant kibernetinio šnipinėjimo kenkėjiškas programas, skirtas išlikti atnaujinant programinę įrangą.