CVE-2022-42475 Kwetsbaarheid

Tussen 2022 en 2023 infiltreerden door de staat gesponsorde dreigingsactoren die banden hadden met China wereldwijd 20.000 Fortinet FortiGate-systemen door misbruik te maken van een bekend kritiek beveiligingslek. Deze inbreuk brengt een bredere impact aan het licht dan eerder werd erkend.

De statelijke actor die verantwoordelijk is voor deze operatie was minimaal twee maanden voordat deze door Fortinet werd onthuld al op de hoogte van de kwetsbaarheid in FortiGate-systemen. Gedurende deze periode, bekend als het zero-day-venster, heeft de acteur met succes 14.000 apparaten gecompromitteerd.

Volgens een gezamenlijk rapport van de Nederlandse Militaire Inlichtingen- en Veiligheidsdienst (MIVD) en de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) begin 2024 maakten Chinese hackers misbruik van CVE-2022-42475, een kritieke FortiOS/FortiProxy-kwetsbaarheid voor het uitvoeren van externe code. Gedurende een aantal maanden in 2022 en 2023 slaagden de aanvallers erin malware te installeren op kwetsbare Fortigate-netwerkbeveiligingsapparatuur.

De aanvallers hebben de Coathanger RAT ingezet op gecompromitteerde apparaten

De Coathanger Remote Access Trojan (RAT)-malware, ontdekt bij de aanvallen, werd ook gedetecteerd op een netwerk van het Nederlandse Ministerie van Defensie, dat specifiek werd gebruikt voor onderzoek en ontwikkeling (R&D) voor niet-geclassificeerde projecten. Gelukkig konden de aanvallers door de netwerksegmentatie niet in andere systemen infiltreren.

Deze voorheen niet bekendgemaakte malwaresoort, die in stand kon blijven door systeemherstarts en firmware-upgrades, werd door een door de Chinese staat gesponsorde hackgroep ingezet in een politieke spionagecampagne gericht op Nederland en zijn bondgenoten. Hierdoor kreeg de statelijke actor blijvende toegang tot de gecompromitteerde systemen. Zelfs als beveiligingsupdates vanuit FortiGate zijn geïnstalleerd, behoudt de statelijke actor deze toegang.

Het exacte aantal slachtoffers met de geïnstalleerde malware blijft onbekend. Onderzoekers speculeren echter dat de statelijke actor mogelijk zijn toegang zou kunnen uitbreiden tot honderden slachtoffers wereldwijd, waardoor verdere acties zoals gegevensdiefstal mogelijk zouden worden.

De cybercriminelen hebben mogelijk nog steeds toegang tot de gehackte apparaten

Sinds februari is aan het licht gekomen dat een Chinese dreigingsgroep tussen 2022 en 2023 toegang heeft gekregen tot meer dan 20.000 FortiGate-systemen wereldwijd, gedurende enkele maanden, minstens twee maanden voordat Fortinet de CVE-2022-42475-kwetsbaarheid openbaarde.

De MIVD suggereert dat Chinese hackers waarschijnlijk toegang behouden tot talloze slachtoffers, omdat de Coathanger-malware bedreven is in het omzeilen van detectie door systeemoproepen te onderscheppen, waardoor de aanwezigheid ervan moeilijk te identificeren is. Bovendien is het bestand tegen verwijdering en overleeft het firmware-upgrades. CVE-2022-42475 werd uitgebuit als een zero-day-kwetsbaarheid, voornamelijk gericht op overheidsorganisaties en aangesloten entiteiten, zoals onthuld in januari 2023.

Deze aanvallen vertonen opvallende overeenkomsten met een andere Chinese hackcampagne die zich richtte op het exploiteren van niet-gepatchte SonicWall Secure Mobile Access (SMA)-apparaten, waarbij gebruik werd gemaakt van cyberspionage-malware die is ontworpen om te blijven bestaan via firmware-upgrades.