Vulnerabilitatea CVE-2022-42475

Între 2022 și 2023, actori de amenințări sponsorizați de stat, legați de China, s-au infiltrat în 20.000 de sisteme Fortinet FortiGate la nivel global, exploatând o defecțiune critică de securitate cunoscută. Această încălcare dezvăluie un impact mai larg decât era recunoscut anterior.

Actorul de stat responsabil de această operațiune era deja conștient de vulnerabilitatea sistemelor FortiGate cu cel puțin două luni înainte de a fi dezvăluită de Fortinet. În această perioadă, cunoscută sub numele de fereastra zero-day, actorul a compromis cu succes 14.000 de dispozitive.

Potrivit unui raport comun al Serviciului Olandez de Informații și Securitate Militară (MIVD) și al Serviciului General de Informații și Securitate (AIVD) la începutul anului 2024, hackerii chinezi au exploatat CVE-2022-42475, o vulnerabilitate critică de execuție a codului de la distanță FortiOS/FortiProxy. Pe parcursul a câteva luni în 2022 și 2023, atacatorii au reușit să instaleze programe malware pe dispozitivele de securitate Fortigate vulnerabile.

Atacatorii au desfășurat Coathanger RAT pe dispozitive compromise

Malware-ul Coathanger Remote Access Trojan (RAT), descoperit în atacuri, a fost detectat și într-o rețea aparținând Ministerului Olandez al Apărării, utilizată special pentru cercetare și dezvoltare (R&D) pe proiecte neclasificate. Din fericire, din cauza segmentării rețelei, atacatorii au fost împiedicați să se infiltreze în alte sisteme.

Această tulpină de malware nedezvăluită anterior, capabilă să persistă prin reporniri ale sistemului și upgrade-uri de firmware, a fost folosită de un grup de hacking sponsorizat de stat chinez într-o campanie de spionaj politic care vizează Țările de Jos și aliații săi. Acest lucru a oferit actorului de stat acces persistent la sistemele compromise. Chiar și cu actualizările de securitate instalate de la FortiGate, actorul de stat menține acest acces.

Numărul exact de victime cu malware instalat rămâne necunoscut. Cu toate acestea, cercetătorii speculează că actorul de stat le-ar putea extinde accesul la sute de victime din întreaga lume, permițând acțiuni suplimentare, cum ar fi furtul de date.

Infractorii cibernetici pot avea în continuare acces la dispozitivele încălcate

Din februarie, a ieșit la iveală că un grup de amenințări chinez a obținut acces la peste 20.000 de sisteme FortiGate din întreaga lume între 2022 și 2023, pe câteva luni, cu cel puțin două luni înainte ca Fortinet să dezvăluie vulnerabilitatea CVE-2022-42475.

MIVD sugerează că hackerii chinezi mențin probabil accesul la numeroase victime, deoarece malware-ul Coathanger este abil să evite detectarea prin interceptarea apelurilor de sistem, ceea ce face prezența sa dificil de identificat. În plus, este rezistent la eliminare și supraviețuiește upgrade-urilor de firmware. CVE-2022-42475 a fost exploatat ca o vulnerabilitate zero-day, vizând în primul rând organizațiile guvernamentale și entitățile afiliate, după cum a fost dezvăluit în ianuarie 2023.

Aceste atacuri au similitudini izbitoare cu o altă campanie de hacking chineză care s-a concentrat pe exploatarea dispozitivelor SonicWall Secure Mobile Access (SMA) nepatchate, folosind malware de spionaj cibernetic conceput să persiste prin upgrade-uri de firmware.