Fortinet
Un actor de amenazas desconocido abusó de una vulnerabilidad crítica en FortiOS SSL-VPN de Fortinet para infectar organizaciones gubernamentales y relacionadas con el gobierno con malware avanzado hecho a medida, dijo la compañía en un informe de autopsia el miércoles.
Rastreada como CVE-2022-42475, la vulnerabilidad es un desbordamiento de búfer basado en montón que permite a los piratas informáticos ejecutar código malicioso de forma remota. Tiene una calificación de gravedad de 9.8 de 10 posibles. Fortinet, un fabricante de software de seguridad de red, corrigió la vulnerabilidad en la versión 7.2.3 lanzado el 28 de noviembre, pero no mencionó la amenaza en las notas de lanzamiento que publicó en ese momento.
Mamá es la palabra
Fortinet no reveló la vulnerabilidad hasta el 12 de diciembre, cuando prevenido que la vulnerabilidad estaba bajo explotación activa contra al menos uno de sus clientes. La compañía instó a los clientes a asegurarse de que estaban ejecutando la versión parcheada del software y buscar en sus redes señales de que la vulnerabilidad había sido explotada en sus redes. Las VPN SSL de FortiOS se utilizan principalmente en cortafuegos fronterizos, que aíslan las redes internas sensibles de la Internet pública.
El miércoles, Fortinet proporcionó una descripción más detallada de la actividad de explotación y el actor de amenazas detrás de ella. Sin embargo, la publicación no proporcionó ninguna explicación por la falta de divulgación de la vulnerabilidad cuando se solucionó en noviembre. Un portavoz de la empresa se negó a responder preguntas enviadas por correo electrónico sobre la falla o cuál es la política de la empresa para la divulgación de vulnerabilidades.
“La complejidad del exploit sugiere un actor avanzado y que está altamente dirigido a objetivos gubernamentales o relacionados con el gobierno”, escribieron los funcionarios de Fortinet en la actualización del miércoles. Continuaron:
- El exploit requiere una comprensión profunda de FortiOS y el hardware subyacente.
- El uso de implantes personalizados muestra que el actor tiene capacidades avanzadas, incluida la ingeniería inversa de varias partes de FortiOS.
- El actor está muy dirigido, con algunos indicios de objetivos gubernamentales o relacionados con el gobierno preferidos.
- La muestra de Windows descubierta atribuida al atacante mostraba artefactos de haber sido compilada en una máquina en la zona horaria UTC+8, que incluye Australia, China, Rusia, Singapur y otros países de Asia oriental.
- Los certificados autofirmados creados por los atacantes se crearon entre las 3 y las 8 a. m. UTC. Sin embargo, es difícil sacar conclusiones de esto dado que los piratas informáticos no operan necesariamente durante el horario de oficina y, a menudo, lo harán durante el horario de oficina de la víctima para ayudar a ocultar su actividad con el tráfico general de la red.
Un análisis realizado por Fortinet en uno de los servidores infectados mostró que el actor de amenazas usó la vulnerabilidad para instalar una variante de un implante conocido basado en Linux que había sido personalizado para ejecutarse sobre FortiOS. Para permanecer sin ser detectado, el malware posterior a la explotación deshabilitó ciertos eventos de registro una vez que se instaló. El implante se instaló en la ruta /data/lib/libips.bak. El archivo puede estar enmascarado como parte del motor IPS de Fortinet, ubicado en /data/lib/libips.so. El archivo /data/lib/libips.so también estaba presente pero tenía un tamaño de archivo de cero.
Después de emular la ejecución del implante, los investigadores de Fortinet descubrieron una cadena única de bytes en su comunicación con los servidores de comando y control que se puede usar para una firma en los sistemas de prevención de intrusiones. El búfer “\x00\x0C\x08http/1.1\x02h2\x00\x00\x00\x14\x00\x12\x00\x00\x0Fwww.example.com” (sin escape) aparecerá dentro del paquete “Client Hello”.
Otras señales de que un servidor ha sido atacado incluyen conexiones a una variedad de direcciones IP, incluyendo 103[.]131[.]189[.]143, y las siguientes sesiones TCP:
- Conexiones al FortiGate en el puerto 443
- Obtener solicitud de /remote/login/lang=en
- Enviar solicitud a control remoto/error
- Obtener solicitud de cargas útiles
- Conexión para ejecutar comando en el FortiGate
- Sesión de shell interactiva.
La autopsia incluye una variedad de otros indicadores de compromiso. Las organizaciones que usan FortiOS SSL-VPN deben leerlo detenidamente e inspeccionar sus redes en busca de signos de que hayan sido atacados o infectados.
Como se señaló anteriormente, la autopsia no explica por qué Fortinet no reveló CVE-2022-42475 hasta después de que estaba bajo explotación activa. La falla es particularmente grave dada la gravedad de la vulnerabilidad. Las divulgaciones son cruciales porque ayudan a los usuarios a priorizar la instalación de parches. Cuando una nueva versión corrige errores menores, muchas organizaciones suelen esperar para instalarla. Cuando corrige una vulnerabilidad con una clasificación de gravedad de 9.8, es mucho más probable que agilicen el proceso de actualización.
En lugar de responder preguntas sobre la falta de divulgación, los funcionarios de Fortinet proporcionaron la siguiente declaración:
Estamos comprometidos con la seguridad de nuestros clientes. En diciembre de 2022, Fortinet distribuyó un aviso PSIRT (FG-IR-22-398) que detallaba la guía de mitigación y recomendaba los próximos pasos con respecto a CVE-2022-42475. Notificamos a los clientes a través del proceso de asesoramiento de PSIRT y les recomendamos que siguieran las instrucciones proporcionadas y, como parte de nuestro compromiso continuo con la seguridad de nuestros clientes, continuaran monitoreando la situación. Hoy, compartimos una investigación extendida adicional sobre CVE-2022-42475. Para obtener más información, visite el Blog.
La compañía dijo que no se pudieron recuperar las cargas útiles maliciosas adicionales utilizadas en los ataques.