Lỗ hổng CVE-2022-42475

Từ năm 2022 đến năm 2023, các tác nhân đe dọa do nhà nước bảo trợ có liên quan đến Trung Quốc đã xâm nhập vào 20.000 hệ thống Fortinet FortiGate trên toàn cầu bằng cách khai thác một lỗ hổng bảo mật quan trọng đã biết. Vi phạm này cho thấy tác động rộng hơn so với những gì đã được thừa nhận trước đây.

Cơ quan nhà nước chịu trách nhiệm về hoạt động này đã biết về lỗ hổng trong hệ thống FortiGate ít nhất hai tháng trước khi nó được Fortinet tiết lộ. Trong khoảng thời gian này, được gọi là cửa sổ zero-day, kẻ tấn công đã xâm nhập thành công 14.000 thiết bị.

Theo một báo cáo chung của Cơ quan An ninh và Tình báo Quân đội Hà Lan (MIVD) và Tổng cục An ninh và Tình báo (AIVD) vào đầu năm 2024, tin tặc Trung Quốc đã khai thác CVE-2022-42475, một lỗ hổng thực thi mã từ xa nghiêm trọng của FortiOS/FortiProxy. Trong vài tháng vào năm 2022 và 2023, những kẻ tấn công đã cài đặt được phần mềm độc hại trên các thiết bị bảo mật mạng Fortigate dễ bị tấn công.

Những kẻ tấn công đã triển khai RAT Coathanger cho các thiết bị bị xâm nhập

Phần mềm độc hại Trojan truy cập từ xa Coathanger (RAT), được phát hiện trong các cuộc tấn công, cũng được phát hiện trên mạng thuộc Bộ Quốc phòng Hà Lan, đặc biệt được sử dụng cho Nghiên cứu và Phát triển (R&D) trên các dự án chưa được phân loại. May mắn thay, do sự phân đoạn mạng nên những kẻ tấn công đã ngăn chặn được việc xâm nhập vào các hệ thống khác.

Loại phần mềm độc hại chưa được tiết lộ trước đây, có khả năng tồn tại qua quá trình khởi động lại hệ thống và nâng cấp chương trình cơ sở, đã được một nhóm hack do nhà nước Trung Quốc tài trợ sử dụng trong một chiến dịch gián điệp chính trị nhắm vào Hà Lan và các đồng minh của nước này. Điều này cấp cho tác nhân nhà nước quyền truy cập liên tục vào các hệ thống bị xâm nhập. Ngay cả với các bản cập nhật bảo mật được cài đặt từ FortiGate, tác nhân trạng thái vẫn duy trì quyền truy cập này.

Số lượng nạn nhân chính xác bị cài đặt phần mềm độc hại vẫn chưa được biết. Tuy nhiên, các nhà nghiên cứu suy đoán rằng tác nhân nhà nước có khả năng mở rộng quyền truy cập của họ tới hàng trăm nạn nhân trên toàn thế giới, tạo điều kiện cho các hành động tiếp theo như đánh cắp dữ liệu.

Tội phạm mạng có thể vẫn có quyền truy cập vào các thiết bị bị vi phạm

Kể từ tháng 2, người ta phát hiện ra rằng một nhóm đe dọa Trung Quốc đã giành được quyền truy cập vào hơn 20.000 hệ thống FortiGate trên toàn thế giới từ năm 2022 đến năm 2023, kéo dài vài tháng, ít nhất hai tháng trước khi Fortinet tiết lộ lỗ hổng CVE-2022-42475.

MIVD gợi ý rằng tin tặc Trung Quốc có khả năng duy trì quyền truy cập vào nhiều nạn nhân vì phần mềm độc hại Coathanger rất giỏi trong việc trốn tránh bị phát hiện bằng cách chặn các cuộc gọi hệ thống, khiến sự hiện diện của nó khó xác định. Hơn nữa, nó có khả năng phục hồi tốt khi bị gỡ bỏ và vẫn tồn tại khi nâng cấp chương trình cơ sở. CVE-2022-42475 đã bị khai thác dưới dạng lỗ hổng zero-day, chủ yếu nhắm vào các tổ chức chính phủ và đơn vị liên kết, như đã được tiết lộ vào tháng 1 năm 2023.

Các cuộc tấn công này có điểm tương đồng nổi bật với một chiến dịch hack khác của Trung Quốc tập trung vào việc khai thác các thiết bị SonicWall Secure Mobile Access (SMA) chưa được vá, sử dụng phần mềm độc hại gián điệp mạng được thiết kế để tồn tại thông qua nâng cấp chương trình cơ sở.