CVE-2022-42475 Kerentanan

Antara 2022 dan 2023, pelakon ancaman tajaan kerajaan yang dikaitkan dengan China menyusup ke 20,000 sistem Fortinet FortiGate secara global dengan mengeksploitasi kecacatan keselamatan kritikal yang diketahui. Pelanggaran ini mendedahkan kesan yang lebih luas daripada yang diakui sebelum ini.

Aktor negeri yang bertanggungjawab untuk operasi ini telah pun menyedari kelemahan dalam sistem FortiGate sekurang-kurangnya dua bulan sebelum ia didedahkan oleh Fortinet. Dalam tempoh ini, dikenali sebagai tetingkap sifar hari, pelakon itu berjaya menjejaskan 14,000 peranti.

Menurut laporan bersama oleh Perkhidmatan Perisikan dan Keselamatan Tentera Belanda (MIVD) dan Perkhidmatan Perisikan Am dan Keselamatan (AIVD) pada awal tahun 2024, penggodam China mengeksploitasi CVE-2022-42475, kelemahan pelaksanaan kod jauh FortiOS/FortiProxy yang kritikal. Selama beberapa bulan pada 2022 dan 2023, penyerang berjaya memasang perisian hasad pada peralatan keselamatan rangkaian Fortigate yang terdedah.

Penyerang Mengerahkan RAT Coathanger ke Peranti Yang Dikompromi

Malware Coathanger Remote Access Trojan (RAT), yang ditemui dalam serangan itu, turut dikesan pada rangkaian milik Kementerian Pertahanan Belanda, yang khusus digunakan untuk Penyelidikan dan Pembangunan (R&D) pada projek yang tidak diklasifikasikan. Nasib baik, disebabkan pembahagian rangkaian, penyerang telah dihalang daripada menyusup ke sistem lain.

Jenis perisian hasad yang tidak didedahkan sebelum ini, mampu berterusan melalui but semula sistem dan peningkatan perisian tegar, telah digunakan oleh kumpulan penggodam tajaan kerajaan China dalam kempen pengintipan politik yang menyasarkan Belanda dan sekutunya. Ini memberikan pelakon negeri akses berterusan kepada sistem yang terjejas. Walaupun dengan kemas kini keselamatan yang dipasang dari FortiGate, pelakon negeri mengekalkan akses ini.

Jumlah sebenar mangsa dengan perisian hasad yang dipasang masih tidak diketahui. Walau bagaimanapun, penyelidik membuat spekulasi bahawa aktor negara itu berpotensi meluaskan akses mereka kepada ratusan mangsa di seluruh dunia, membolehkan tindakan selanjutnya seperti kecurian data.

Penjenayah Siber mungkin Masih Mempunyai Akses kepada Peranti Yang Dilanggar

Sejak Februari, telah diketahui bahawa kumpulan ancaman China mendapat akses kepada lebih 20,000 sistem FortiGate di seluruh dunia antara 2022 dan 2023, yang merangkumi beberapa bulan, sekurang-kurangnya dua bulan sebelum Fortinet mendedahkan kerentanan CVE-2022-42475.

MIVD mencadangkan bahawa penggodam China berkemungkinan mengekalkan akses kepada banyak mangsa kerana perisian hasad Coathanger mahir mengelak pengesanan dengan memintas panggilan sistem, menjadikan kehadirannya sukar dikenal pasti. Selain itu, ia berdaya tahan untuk dialih keluar dan bertahan dalam peningkatan perisian tegar. CVE-2022-42475 telah dieksploitasi sebagai kelemahan sifar hari, terutamanya menyasarkan organisasi kerajaan dan entiti gabungan, seperti yang didedahkan pada Januari 2023.

Serangan ini berkongsi persamaan yang ketara dengan satu lagi kempen penggodaman Cina yang memfokuskan pada mengeksploitasi peralatan SonicWall Secure Mobile Access (SMA) yang tidak ditambal, menggunakan perisian hasad pengintipan siber yang direka untuk berterusan melalui peningkatan perisian tegar.