CVE-2022-42475 Ranljivost

Med letoma 2022 in 2023 so akterji groženj, ki jih sponzorira država, povezani s Kitajsko, infiltrirali 20.000 sistemov Fortinet FortiGate po vsem svetu z izkoriščanjem znane kritične varnostne napake. Ta kršitev razkriva širši vpliv, kot je bilo prej priznano.

Državni akter, odgovoren za to operacijo, se je že zavedal ranljivosti v sistemih FortiGate vsaj dva meseca, preden jo je razkril Fortinet. V tem obdobju, znanem kot okno ničelnega dne, je igralec uspešno ogrozil 14.000 naprav.

Glede na skupno poročilo nizozemske vojaške obveščevalne in varnostne službe (MIVD) ter splošne obveščevalne in varnostne službe (AIVD) v začetku leta 2024 so kitajski hekerji izkoristili CVE-2022-42475, kritično ranljivost oddaljenega izvajanja kode FortiOS/FortiProxy. V nekaj mesecih v letih 2022 in 2023 je napadalcem uspelo namestiti zlonamerno programsko opremo na ranljive omrežne varnostne naprave Fortigate.

Napadalci so Coathanger RAT namestili na ogrožene naprave

Zlonamerna programska oprema Coathanger Remote Access Trojan (RAT), odkrita v napadih, je bila odkrita tudi v omrežju, ki pripada nizozemskemu ministrstvu za obrambo in se posebej uporablja za raziskave in razvoj (R&R) na nerazvrščenih projektih. Na srečo je bilo zaradi segmentacije omrežja napadalcem onemogočeno infiltriranje v druge sisteme.

To prej nerazkrito različico zlonamerne programske opreme, ki se lahko obdrži pri ponovnem zagonu sistema in nadgradnjah vdelane programske opreme, je uporabila hekerska skupina, ki jo sponzorira kitajska država, v kampanji političnega vohunjenja proti Nizozemski in njenim zaveznikom. To je državnemu akterju omogočilo trajen dostop do ogroženih sistemov. Tudi z varnostnimi posodobitvami, nameščenimi iz FortiGate, akter stanja ohrani ta dostop.

Natančno število žrtev z nameščeno zlonamerno programsko opremo ostaja neznano. Vendar pa raziskovalci ugibajo, da bi lahko državni akter potencialno razširil svoj dostop do več sto žrtev po vsem svetu, kar bi omogočilo nadaljnje ukrepe, kot je kraja podatkov.

Kibernetski kriminalci imajo morda še vedno dostop do vdretih naprav

Od februarja je prišlo na dan, da je kitajska skupina groženj pridobila dostop do več kot 20.000 sistemov FortiGate po vsem svetu med letoma 2022 in 2023, kar je trajalo več mesecev, vsaj dva meseca preden je Fortinet razkril ranljivost CVE-2022-42475.

MIVD nakazuje, da kitajski hekerji verjetno ohranijo dostop do številnih žrtev, ker je zlonamerna programska oprema Coathanger spretna pri izogibanju odkrivanju s prestrezanjem sistemskih klicev, zaradi česar je njeno prisotnost težko prepoznati. Poleg tega je odporen na odstranitev in preživi nadgradnje strojne programske opreme. CVE-2022-42475 je bil izkoriščen kot ranljivost ničelnega dne, predvsem tarča vladnih organizacij in povezanih subjektov, kot je bilo razkrito januarja 2023.

Ti napadi imajo presenetljive podobnosti z drugo kitajsko hekersko kampanjo, ki se je osredotočala na izkoriščanje nezakrpanih naprav SonicWall Secure Mobile Access (SMA) z uporabo zlonamerne programske opreme za kibernetsko vohunjenje, ki je zasnovana tako, da vztraja pri nadgradnjah vdelane programske opreme.