CVE-2022-42475 Ievainojamība

Laikā no 2022. līdz 2023. gadam valsts sponsorēti draudu dalībnieki, kas saistīti ar Ķīnu, visā pasaulē iefiltrējās 20 000 Fortinet FortiGate sistēmās, izmantojot zināmu kritisku drošības trūkumu. Šis pārkāpums atklāj plašāku ietekmi, nekā tika atzīts iepriekš.

Par šo operāciju atbildīgais valsts dalībnieks jau zināja par FortiGate sistēmu ievainojamību vismaz divus mēnešus pirms Fortinet to atklāja. Šajā periodā, kas pazīstams kā nulles dienas logs, aktieris veiksmīgi uzlauza 14 000 ierīču.

Saskaņā ar Nīderlandes Militārās izlūkošanas un drošības dienesta (MIVD) un Vispārējā izlūkošanas un drošības dienesta (AIVD) kopīgo ziņojumu 2024. gada sākumā Ķīnas hakeri izmantoja CVE-2022-42475 — būtisku FortiOS/FortiProxy attālās koda izpildes ievainojamību. Vairāku mēnešu laikā 2022. gadā un 2023. gadā uzbrucējiem izdevās ievainojamajās Fortigate tīkla drošības ierīcēs instalēt ļaunprātīgu programmatūru.

Uzbrucēji izvietoja Coathanger RAT apdraudētajās ierīcēs

Uzbrukumos atklātā ļaunprogrammatūra Coathanger Remote Access Trojan (RAT) tika atklāta arī Nīderlandes Aizsardzības ministrijai piederošā tīklā, ko īpaši izmantoja neklasificētu projektu pētniecībai un attīstībai (R&D). Par laimi, tīkla segmentācijas dēļ uzbrucēji neļāva iefiltrēties citās sistēmās.

Šo iepriekš neizpausto ļaunprogrammatūras paveidu, kas spēj saglabāties sistēmas atsāknēšanas un programmaparatūras jaunināšanas rezultātā, izmantoja Ķīnas valsts sponsorēta hakeru grupa politiskās spiegošanas kampaņā, kuras mērķis bija Nīderlande un tās sabiedrotie. Tas nodrošināja valsts dalībniekam pastāvīgu piekļuvi apdraudētajām sistēmām. Pat ar FortiGate instalētajiem drošības atjauninājumiem valsts dalībnieks saglabā šo piekļuvi.

Precīzs upuru skaits ar instalēto ļaunprātīgo programmatūru joprojām nav zināms. Tomēr pētnieki spekulē, ka valsts dalībnieks, iespējams, varētu paplašināt savu piekļuvi simtiem upuru visā pasaulē, ļaujot veikt turpmākas darbības, piemēram, datu zādzību.

Kibernoziedzniekiem joprojām var būt piekļuve uzlauztajām ierīcēm

Kopš februāra ir kļuvis zināms, ka Ķīnas draudu grupa laika posmā no 2022. līdz 2023. gadam ir ieguvusi piekļuvi vairāk nekā 20 000 FortiGate sistēmu visā pasaulē, aptverot vairākus mēnešus, vismaz divus mēnešus pirms Fortinet atklāja CVE-2022-42475 ievainojamību.

MIVD norāda, ka ķīniešu hakeri, iespējams, saglabā piekļuvi daudziem upuriem, jo Coathanger ļaunprogrammatūra ir prasmīga, lai izvairītos no atklāšanas, pārtverot sistēmas zvanus, padarot tās klātbūtni grūti identificēt. Turklāt tas ir izturīgs pret noņemšanu un iztur programmaparatūras jauninājumus. Kā tika atklāts 2023. gada janvārī, CVE-2022-42475 tika izmantota kā nulles dienas ievainojamība, galvenokārt mērķējot uz valdības organizācijām un saistītajām struktūrām.

Šiem uzbrukumiem ir pārsteidzošas līdzības ar citu Ķīnas uzlaušanas kampaņu, kas koncentrējās uz nepārlāpītu SonicWall Secure Mobile Access (SMA) ierīču izmantošanu, izmantojot kiberspiegošanas ļaunprātīgu programmatūru, kas paredzēta, lai saglabātu programmaparatūras jauninājumus.