CVE-2022-42475 Vulnerability

Entre 2022 e 2023, agentes de ameaças patrocinados pelo Estado ligados à China infiltraram-se em 20.000 sistemas Fortinet FortiGate em todo o mundo, explorando uma falha de segurança crítica conhecida. Esta violação revela um impacto mais amplo do que o anteriormente reconhecido.

O autor estatal responsável por esta operação já tinha conhecimento da vulnerabilidade nos sistemas FortiGate pelo menos dois meses antes de ser divulgada pela Fortinet. Durante esse período, conhecido como janela de dia zero, o ator comprometeu com sucesso 14 mil dispositivos.

De acordo com um relatório conjunto do Serviço Militar de Inteligência e Segurança Holandês (MIVD) e do Serviço Geral de Inteligência e Segurança (AIVD) no início de 2024, hackers chineses exploraram CVE-2022-42475, uma vulnerabilidade crítica de execução remota de código FortiOS/FortiProxy. Ao longo de vários meses em 2022 e 2023, os invasores conseguiram instalar malware em dispositivos vulneráveis de segurança de rede Fortigate.

Os Invasores Implantaram o Coathanger RAT nos Dispositivos Comprometidos

O malware Coathanger Remote Access Trojan (RAT), descoberto nos ataques, também foi detectado em uma rede pertencente ao Ministério da Defesa holandês, usada especificamente para Pesquisa e Desenvolvimento (P&D) em projetos não confidenciais. Felizmente, devido à segmentação da rede, os invasores foram impedidos de se infiltrar em outros sistemas.

Esta estirpe de malware anteriormente não revelada, capaz de persistir através de reinicializações de sistemas e atualizações de firmware, foi utilizada por um grupo de hackers patrocinado pelo Estado chinês numa campanha de espionagem política visando a Holanda e os seus aliados. Isto concedeu ao ator estatal acesso persistente aos sistemas comprometidos. Mesmo com atualizações de segurança instaladas do FortiGate, o ator estatal mantém esse acesso.

O número exato de vítimas com o malware instalado permanece desconhecido. No entanto, os investigadores especulam que o interveniente estatal poderia potencialmente alargar o seu acesso a centenas de vítimas em todo o mundo, permitindo novas ações, como o roubo de dados.

Os Cibercriminosos Ainda podem Ter Acesso aos Dispositivos Violados

Desde fevereiro, descobriu-se que um grupo de ameaças chinês obteve acesso a mais de 20.000 sistemas FortiGate em todo o mundo entre 2022 e 2023, durante vários meses, pelo menos dois meses antes de a Fortinet divulgar a vulnerabilidade CVE-2022-42475.

O MIVD sugere que os hackers chineses provavelmente mantêm acesso a inúmeras vítimas porque o malware Coathanger é adepto de evitar a detecção interceptando chamadas do sistema, tornando sua presença difícil de identificar. Além disso, é resistente à remoção e sobrevive a atualizações de firmware. CVE-2022-42475 foi explorada como uma vulnerabilidade de dia zero, visando principalmente organizações governamentais e entidades afiliadas, conforme revelado em janeiro de 2023.

Esses ataques compartilham semelhanças impressionantes com outra campanha de hackers chinesa que se concentrou na exploração de dispositivos SonicWall Secure Mobile Access (SMA) sem correção, usando malware de espionagem cibernética projetado para persistir durante atualizações de firmware.