CVE-2022-42475 Sårbarhet

Mellom 2022 og 2023 infiltrerte statsstøttede trusselaktører knyttet til Kina 20 000 Fortinet FortiGate-systemer globalt ved å utnytte en kjent kritisk sikkerhetsfeil. Dette bruddet avslører en bredere innvirkning enn tidligere erkjent.

Den statlige aktøren som er ansvarlig for denne operasjonen var allerede klar over sårbarheten i FortiGate-systemer minst to måneder før den ble avslørt av Fortinet. I løpet av denne perioden, kjent som zero-day-vinduet, kom skuespilleren med suksess med 14 000 enheter.

I følge en felles rapport fra den nederlandske militære etterretnings- og sikkerhetstjenesten (MIVD) og den generelle etterretnings- og sikkerhetstjenesten (AIVD) tidlig i 2024, utnyttet kinesiske hackere CVE-2022-42475, en kritisk sårbarhet for ekstern kjøring av FortiOS/FortiProxy-kode. I løpet av flere måneder i 2022 og 2023 klarte angriperne å installere skadelig programvare på sårbare Fortigate-nettverkssikkerhetsenheter.

Angriperne distribuerte Coathanger RAT til kompromitterte enheter

Coathanger Remote Access Trojan (RAT) malware, oppdaget i angrepene, ble også oppdaget på et nettverk som tilhører det nederlandske forsvarsdepartementet, spesielt brukt til forskning og utvikling (FoU) på uklassifiserte prosjekter. Heldigvis, på grunn av nettverkssegmentering, ble angriperne forhindret fra å infiltrere andre systemer.

Denne tidligere ikke avslørte malware-stammen, som kan vedvare gjennom omstart av systemet og fastvareoppgraderinger, ble brukt av en kinesisk statsstøttet hackergruppe i en politisk spionasjekampanje rettet mot Nederland og dets allierte. Dette ga den statlige aktøren vedvarende tilgang til de kompromitterte systemene. Selv med sikkerhetsoppdateringer installert fra FortiGate, opprettholder den statlige aktøren denne tilgangen.

Det nøyaktige antallet ofre med skadelig programvare installert er fortsatt ukjent. Imidlertid spekulerer forskere i at statsaktøren potensielt kan utvide tilgangen deres til hundrevis av ofre over hele verden, noe som muliggjør ytterligere handlinger som datatyveri.

Nettkriminelle kan fortsatt ha tilgang til enhetene som brytes

Siden februar har det kommet frem at en kinesisk trusselgruppe fikk tilgang til over 20 000 FortiGate-systemer over hele verden mellom 2022 og 2023, som strekker seg over flere måneder, minst to måneder før Fortinet avslørte CVE-2022-42475-sårbarheten.

MIVD antyder at kinesiske hackere sannsynligvis opprettholder tilgang til en rekke ofre fordi Coathanger-malwaren er dyktig til å unngå oppdagelse ved å avskjære systemanrop, noe som gjør det vanskelig å identifisere. Dessuten er den motstandsdyktig mot fjerning og overlever fastvareoppgraderinger. CVE-2022-42475 ble utnyttet som en null-dagers sårbarhet, primært rettet mot offentlige organisasjoner og tilknyttede enheter, som avslørt i januar 2023.

Disse angrepene deler slående likheter med en annen kinesisk hacking-kampanje som fokuserte på å utnytte upatchede SonicWall Secure Mobile Access (SMA)-enheter, ved å bruke cyberspionasje skadelig programvare designet for å vedvare gjennom fastvareoppgraderinger.