CVE-2022-42475 Sårbarhet

Mellan 2022 och 2023 infiltrerade statligt sponsrade hotaktörer kopplade till Kina 20 000 Fortinet FortiGate-system globalt genom att utnyttja ett känt kritiskt säkerhetsbrist. Detta brott avslöjar en bredare effekt än vad som tidigare erkänts.

Den statliga aktören som ansvarade för denna operation var redan medveten om sårbarheten i FortiGate-system minst två månader innan den avslöjades av Fortinet. Under denna period, känd som nolldagarsfönstret, komprometterade skådespelaren framgångsrikt 14 000 enheter.

Enligt en gemensam rapport från den holländska militära underrättelse- och säkerhetstjänsten (MIVD) och den allmänna underrättelse- och säkerhetstjänsten (AIVD) i början av 2024, utnyttjade kinesiska hackare CVE-2022-42475, en kritisk sårbarhet för körning av fjärrkod i FortiOS/FortiProxy. Under flera månader 2022 och 2023 lyckades angriparna installera skadlig programvara på sårbara Fortigates nätverkssäkerhetsapparater.

Angriparna distribuerade Coathanger RAT till komprometterade enheter

Coathanger Remote Access Trojan (RAT) skadlig kod, som upptäcktes i attackerna, upptäcktes också på ett nätverk som tillhör det holländska försvarsministeriet, specifikt använt för forskning och utveckling (FoU) på oklassificerade projekt. Lyckligtvis, på grund av nätverkssegmentering, förhindrades angriparna från att infiltrera andra system.

Denna tidigare okänd skadliga stam, som kan bestå genom systemstarter och firmwareuppgraderingar, användes av en kinesisk statssponsrad hackergrupp i en politisk spionagekampanj riktad mot Nederländerna och dess allierade. Detta gav den statliga aktören ihållande tillgång till de komprometterade systemen. Även med säkerhetsuppdateringar installerade från FortiGate upprätthåller den statliga aktören denna åtkomst.

Det exakta antalet offer med skadlig programvara installerad är fortfarande okänt. Men forskare spekulerar i att den statliga aktören potentiellt skulle kunna utöka sin tillgång till hundratals offer över hela världen, vilket möjliggör ytterligare åtgärder som datastöld.

Cyberbrottslingarna kan fortfarande ha tillgång till de intrångade enheterna

Sedan februari har det kommit fram att en kinesisk hotgrupp fick tillgång till över 20 000 FortiGate-system världen över mellan 2022 och 2023, som sträckte sig över flera månader, minst två månader innan Fortinet avslöjade CVE-2022-42475-sårbarheten.

MIVD föreslår att kinesiska hackare sannolikt har tillgång till många offer eftersom Coathanger skadlig kod är skicklig på att undvika upptäckt genom att avlyssna systemsamtal, vilket gör dess närvaro svår att identifiera. Dessutom är den motståndskraftig mot borttagning och överlever firmwareuppgraderingar. CVE-2022-42475 utnyttjades som en nolldagarssårbarhet, främst inriktad på statliga organisationer och anslutna enheter, vilket avslöjades i januari 2023.

Dessa attacker delar slående likheter med en annan kinesisk hackningskampanj som fokuserade på att utnyttja opatchade SonicWall Secure Mobile Access (SMA)-apparater, med hjälp av skadlig programvara för cyberspionage som är utformad för att fortsätta genom uppgraderingar av firmware.