.
Fortinet
Um agente de ameaça desconhecido abusou de uma vulnerabilidade crítica no FortiOS SSL-VPN da Fortinet para infectar o governo e organizações relacionadas ao governo com malware avançado feito sob medida, disse a empresa em um relatório de autópsia na quarta-feira.
Rastreada como CVE-2022-42475, a vulnerabilidade é um estouro de buffer baseado em heap que permite que hackers executem remotamente códigos maliciosos. Ele carrega uma classificação de gravidade de 9,8 em 10 possíveis. Fabricante de software de segurança de rede, a Fortinet corrigiu a vulnerabilidade na versão 7.2.3 lançada em 28 de novembro, mas não mencionou a ameaça nas notas de versão publicadas no Tempo.
mãe é a palavra
A Fortinet não divulgou a vulnerabilidade até 12 de dezembro, quando alertou que a vulnerabilidade estava sob exploração ativa contra pelo menos um de seus clientes. A empresa instou os clientes a garantir que estão executando a versão corrigida do software e a pesquisar em suas redes sinais de que a vulnerabilidade foi explorada em suas redes. As VPNs SSL do FortiOS são usadas principalmente em firewalls de borda, que isolam redes internas sensíveis da Internet pública.
Na quarta-feira, a Fortinet forneceu um relato mais detalhado da atividade de exploração e o agente da ameaça por trás dela. A postagem, no entanto, não forneceu nenhuma explicação para a falha em divulgar a vulnerabilidade quando ela foi corrigida em novembro. Um porta-voz da empresa se recusou a responder a perguntas enviadas por e-mail sobre a falha ou qual é a política da empresa para divulgação de vulnerabilidades.
“A complexidade da exploração sugere um ator avançado e que é altamente direcionado a alvos governamentais ou relacionados ao governo”, escreveram os funcionários da Fortinet na atualização de quarta-feira. Eles continuaram:
- A exploração requer uma compreensão profunda do FortiOS e do hardware subjacente.
- O uso de implantes personalizados mostra que o ator possui recursos avançados, incluindo a engenharia reversa de várias partes do FortiOS.
- O ator é altamente direcionado, com algumas dicas de alvos governamentais ou relacionados ao governo preferidos.
- A amostra descoberta do Windows atribuída ao invasor exibia artefatos de ter sido compilado em uma máquina no fuso horário UTC+8, que inclui Austrália, China, Rússia, Cingapura e outros países do Leste Asiático.
- Os certificados autoassinados criados pelos invasores foram todos criados entre 3h e 8h UTC. No entanto, é difícil tirar conclusões a partir disso, pois os hackers não operam necessariamente durante o horário comercial e, muitas vezes, operam durante o horário comercial da vítima para ajudar a ofuscar sua atividade com o tráfego geral da rede.
Uma análise que a Fortinet realizou em um dos servidores infectados mostrou que o agente da ameaça usou a vulnerabilidade para instalar uma variante de um conhecido implante baseado em Linux que foi personalizado para rodar no FortiOS. Para permanecer indetectável, o malware pós-exploração desativou certos eventos de registro assim que foi instalado. O implante foi instalado no caminho /data/lib/libips.bak. O arquivo pode estar mascarado como parte do mecanismo IPS da Fortinet, localizado em /data/lib/libips.so. O arquivo /data/lib/libips.so também estava presente, mas tinha um tamanho de arquivo zero.
Depois de emular a execução do implante, os pesquisadores da Fortinet descobriram uma cadeia única de bytes em sua comunicação com servidores de comando e controle que podem ser usados para uma assinatura em sistemas de prevenção de invasões. O buffer “x00x0Cx08http/1.1x02h2x00x00x00x14x00x12x00x00x0Fwww.example.com” (sem escape) aparecerá dentro do pacote “Client Hello”.
Outros sinais de que um servidor foi alvo incluem conexões com vários endereços IP, incluindo 103[.]131[.]189[.]143, e as seguintes sessões TCP:
- Conexões com o FortiGate na porta 443
- Obter solicitação para /remote/login/lang=en
- Solicitação de postagem para controle remoto/erro
- Obter solicitação para cargas úteis
- Conexão para executar comando no FortiGate
- Sessão shell interativa.
A autópsia inclui uma variedade de outros indicadores de compromisso. As organizações que usam o FortiOS SSL-VPN devem lê-lo cuidadosamente e inspecionar suas redes em busca de sinais de que foram alvo ou infectados.
Conforme observado anteriormente, a autópsia não explica por que a Fortinet não divulgou o CVE-2022-42475 até que estivesse sob exploração ativa. A falha é particularmente grave dada a gravidade da vulnerabilidade. As divulgações são cruciais porque ajudam os usuários a priorizar a instalação de patches. Quando uma nova versão corrige pequenos bugs, muitas organizações costumam esperar para instalá-la. Quando corrige uma vulnerabilidade com uma classificação de gravidade de 9,8, é muito mais provável que eles agilizem o processo de atualização.
Em vez de responder a perguntas sobre a falta de divulgação, os funcionários da Fortinet forneceram a seguinte declaração:
Estamos comprometidos com a segurança de nossos clientes. Em dezembro de 2022, a Fortinet distribuiu um comunicado PSIRT (FG-IR-22-398) que detalhava as orientações de mitigação e recomendava as próximas etapas em relação ao CVE-2022-42475. Notificamos os clientes por meio do processo PSIRT Advisory e os aconselhamos a seguir as orientações fornecidas e, como parte de nosso compromisso contínuo com a segurança de nossos clientes, continuar monitorando a situação. Hoje, compartilhamos pesquisas estendidas adicionais sobre CVE-2022-42475. Para mais informações, visite o blog.
A empresa disse que cargas maliciosas adicionais usadas nos ataques não puderam ser recuperadas.
.
