CVE-2022-42475 దుర్బలత్వం

2022 మరియు 2023 మధ్య, చైనాతో అనుసంధానించబడిన రాష్ట్ర-ప్రాయోజిత ముప్పు నటులు తెలిసిన క్లిష్టమైన భద్రతా లోపాన్ని ఉపయోగించడం ద్వారా ప్రపంచవ్యాప్తంగా 20,000 ఫోర్టినెట్ ఫోర్టిగేట్ సిస్టమ్‌లలోకి చొరబడ్డారు. ఈ ఉల్లంఘన గతంలో గుర్తించిన దాని కంటే విస్తృత ప్రభావాన్ని వెల్లడిస్తుంది.

ఫోర్టిగేట్ సిస్టమ్స్‌లోని దుర్బలత్వం గురించి ఫోర్టినెట్ వెల్లడించడానికి కనీసం రెండు నెలల ముందే ఈ ఆపరేషన్‌కు బాధ్యత వహించిన రాష్ట్ర నటుడికి ఇప్పటికే తెలుసు. జీరో-డే విండోగా పిలువబడే ఈ కాలంలో, నటుడు 14,000 పరికరాలను విజయవంతంగా రాజీ చేశాడు.

2024 ప్రారంభంలో డచ్ మిలిటరీ ఇంటెలిజెన్స్ అండ్ సెక్యూరిటీ సర్వీస్ (MIVD) మరియు జనరల్ ఇంటెలిజెన్స్ అండ్ సెక్యూరిటీ సర్వీస్ (AIVD) సంయుక్త నివేదిక ప్రకారం, చైనీస్ హ్యాకర్లు CVE-2022-42475, ఒక క్లిష్టమైన FortiOS/FortiProxy రిమోట్ కోడ్ ఎగ్జిక్యూషన్ దుర్బలత్వాన్ని ఉపయోగించుకున్నారు. 2022 మరియు 2023లో చాలా నెలల్లో, దాడి చేసేవారు హాని కలిగించే ఫోర్టిగేట్ నెట్‌వర్క్ భద్రతా ఉపకరణాలపై మాల్వేర్‌ను ఇన్‌స్టాల్ చేయగలిగారు.

దాడి చేసేవారు రాజీపడిన పరికరాలకు కోతాంజర్ RATని మోహరించారు

దాడుల్లో కనుగొనబడిన Coathanger రిమోట్ యాక్సెస్ ట్రోజన్ (RAT) మాల్వేర్, డచ్ రక్షణ మంత్రిత్వ శాఖకు చెందిన నెట్‌వర్క్‌లో కూడా కనుగొనబడింది, ప్రత్యేకంగా వర్గీకరించని ప్రాజెక్ట్‌లపై పరిశోధన మరియు అభివృద్ధి (R&D) కోసం ఉపయోగించబడుతుంది. అదృష్టవశాత్తూ, నెట్‌వర్క్ విభజన కారణంగా, దాడి చేసేవారు ఇతర సిస్టమ్‌లలోకి చొరబడకుండా నిరోధించబడ్డారు.

సిస్టమ్ రీబూట్‌లు మరియు ఫర్మ్‌వేర్ అప్‌గ్రేడ్‌ల ద్వారా ఈ మునుపు బహిర్గతం చేయని మాల్వేర్ స్ట్రెయిన్, నెదర్లాండ్స్ మరియు దాని మిత్రదేశాలను లక్ష్యంగా చేసుకుని రాజకీయ గూఢచర్య ప్రచారంలో చైనీస్ స్టేట్ ప్రాయోజిత హ్యాకింగ్ గ్రూప్ ద్వారా ఉపయోగించబడింది. ఇది రాష్ట్ర నటులకు రాజీపడిన వ్యవస్థలకు నిరంతర ప్రాప్యతను మంజూరు చేసింది. ఫోర్టిగేట్ నుండి ఇన్‌స్టాల్ చేయబడిన భద్రతా నవీకరణలతో కూడా, రాష్ట్ర నటుడు ఈ యాక్సెస్‌ను నిర్వహిస్తారు.

మాల్వేర్ ఇన్‌స్టాల్ చేయబడిన బాధితుల సంఖ్య ఖచ్చితంగా తెలియదు. అయినప్పటికీ, రాష్ట్ర నటుడు ప్రపంచవ్యాప్తంగా ఉన్న వందలాది మంది బాధితులకు తమ ప్రాప్యతను విస్తరించగలరని పరిశోధకులు ఊహిస్తున్నారు, డేటా చౌర్యం వంటి తదుపరి చర్యలను అనుమతిస్తుంది.

సైబర్ నేరగాళ్లు ఇప్పటికీ ఉల్లంఘించిన పరికరాలకు ప్రాప్యత కలిగి ఉండవచ్చు

ఫిబ్రవరి నుండి, ఫోర్టినెట్ CVE-2022-42475 దుర్బలత్వాన్ని వెల్లడించడానికి కనీసం రెండు నెలల ముందు, 2022 మరియు 2023 మధ్య ప్రపంచవ్యాప్తంగా 20,000కి పైగా ఫోర్టిగేట్ సిస్టమ్‌లకు చైనీస్ ముప్పు సమూహం యాక్సెస్ పొందిందని, చాలా నెలల పాటు వెలుగులోకి వచ్చింది.

కోతాంజర్ మాల్వేర్ సిస్టమ్ కాల్‌లను అడ్డగించడం ద్వారా గుర్తించకుండా తప్పించుకోవడంలో ప్రవీణుడు కాబట్టి, దాని ఉనికిని గుర్తించడం కష్టతరం చేయడం వల్ల చైనీస్ హ్యాకర్లు అనేక మంది బాధితులకు యాక్సెస్‌ను కొనసాగించవచ్చని MIVD సూచిస్తుంది. అంతేకాకుండా, ఇది తొలగింపుకు స్థితిస్థాపకంగా ఉంటుంది మరియు ఫర్మ్‌వేర్ అప్‌గ్రేడ్‌లను తట్టుకుంటుంది. CVE-2022-42475 అనేది జీరో-డే దుర్బలత్వం వలె ఉపయోగించబడింది, ప్రాథమికంగా ప్రభుత్వ సంస్థలు మరియు అనుబంధ సంస్థలను లక్ష్యంగా చేసుకుంది, జనవరి 2023లో వెల్లడించింది.

ఈ దాడులు ఫర్మ్‌వేర్ అప్‌గ్రేడ్‌ల ద్వారా కొనసాగేలా రూపొందించిన సైబర్-గూఢచర్యం మాల్వేర్‌ను ఉపయోగించి అన్‌ప్యాచ్డ్ సోనిక్‌వాల్ సెక్యూర్ మొబైల్ యాక్సెస్ (SMA) ఉపకరణాలను ఉపయోగించుకోవడంపై దృష్టి సారించిన మరొక చైనీస్ హ్యాకింగ్ ప్రచారంతో అద్భుతమైన సారూప్యతలను పంచుకుంటాయి.