CVE-2022-42475 Kahinaan

Sa pagitan ng 2022 at 2023, ang mga aktor ng pagbabanta na inisponsor ng estado na naka-link sa China ay nakalusot sa 20,000 Fortinet FortiGate system sa buong mundo sa pamamagitan ng pagsasamantala sa isang kilalang kritikal na depekto sa seguridad. Ang paglabag na ito ay nagpapakita ng mas malawak na epekto kaysa sa naunang kinikilala.

Alam na ng aktor ng estado na responsable para sa operasyong ito ang kahinaan sa mga sistema ng FortiGate nang hindi bababa sa dalawang buwan bago ito isiwalat ng Fortinet. Sa panahong ito, na kilala bilang zero-day window, matagumpay na nakompromiso ng aktor ang 14,000 device.

Ayon sa magkasanib na ulat ng Dutch Military Intelligence and Security Service (MIVD) at ng General Intelligence and Security Service (AIVD) noong unang bahagi ng 2024, pinagsamantalahan ng mga Chinese hackers ang CVE-2022-42475, isang kritikal na FortiOS/FortiProxy remote code execution vulnerability. Sa loob ng ilang buwan noong 2022 at 2023, nagawa ng mga umaatake na mag-install ng malware sa mga vulnerable na Fortigate network security appliances.

Inilagay ng mga Attacker ang Coathanger RAT sa Mga Nakompromisong Device

Ang Coathanger Remote Access Trojan (RAT) malware, na natuklasan sa mga pag-atake, ay nakita din sa isang network na pagmamay-ari ng Dutch Ministry of Defense, partikular na ginagamit para sa Research and Development (R&D) sa mga hindi natukoy na proyekto. Sa kabutihang palad, dahil sa pagse-segment ng network, napigilan ang mga umaatake na makalusot sa ibang mga system.

Ang dati nang hindi nabunyag na strain ng malware, na may kakayahang magpatuloy sa pamamagitan ng mga pag-reboot ng system at pag-upgrade ng firmware, ay ginamit ng isang grupong pangha-hack na itinataguyod ng estado ng China sa isang political espionage campaign na nagta-target sa Netherlands at mga kaalyado nito. Binigyan nito ang aktor ng estado ng patuloy na pag-access sa mga nakompromisong sistema. Kahit na may mga update sa seguridad na naka-install mula sa FortiGate, pinapanatili ng aktor ng estado ang access na ito.

Ang eksaktong bilang ng mga biktima na may naka-install na malware ay nananatiling hindi alam. Gayunpaman, inaakala ng mga mananaliksik na posibleng mapalawak ng aktor ng estado ang kanilang pag-access sa daan-daang biktima sa buong mundo, na nagbibigay-daan sa mga karagdagang aksyon tulad ng pagnanakaw ng data.

Maaaring May Access Pa rin ang Mga Cybercriminal sa Mga Nilabag na Device

Mula noong Pebrero, napag-alaman na ang isang Chinese threat group ay nakakuha ng access sa mahigit 20,000 FortiGate system sa buong mundo sa pagitan ng 2022 at 2023, na sumasaklaw ng ilang buwan, hindi bababa sa dalawang buwan bago isiwalat ng Fortinet ang kahinaan ng CVE-2022-42475.

Ang MIVD ay nagmumungkahi na ang mga Chinese na hacker ay malamang na nagpapanatili ng access sa maraming biktima dahil ang Coathanger malware ay sanay sa pag-iwas sa pagtuklas sa pamamagitan ng pagharang sa mga tawag sa system, na ginagawang mahirap makilala ang presensya nito. Bukod dito, ito ay nababanat sa pag-alis at nakakaligtas sa mga upgrade ng firmware. Ang CVE-2022-42475 ay pinagsamantalahan bilang isang zero-day na kahinaan, pangunahing nagta-target sa mga organisasyon ng gobyerno at mga kaakibat na entity, gaya ng inihayag noong Enero 2023.

Ang mga pag-atakeng ito ay may kapansin-pansing pagkakatulad sa isa pang Chinese hacking campaign na nakatuon sa pagsasamantala sa mga hindi na-patch na SonicWall Secure Mobile Access (SMA) appliances, gamit ang cyber-espionage malware na idinisenyo upang magpatuloy sa pamamagitan ng mga upgrade ng firmware.