Supostos hackers chineses exploraram uma vulnerabilidade recentemente corrigida no Fortinet FortiOS SSL-VPN como uma falha de zero dia. Eles teriam usado a vulnerabilidade em ataques direcionados a uma entidade governamental europeia e um provedor de serviços gerenciados (MSP) localizado na África.
De acordo com o The Hacker News, as evidências de telemetria coletadas pela Mandiant, de propriedade do Google, indicam que a exploração ocorreu já em outubro de 2022. Ou seja, os ataques aconteceram pelo menos quase dois meses antes do lançamento das correções.
Hackers exploraram vulnerabilidade da Fortinet em ataques
O relatório dos pesquisadores da Mandiante (Via: The Hacker News) revela que:
Este incidente continua o padrão da China de explorar dispositivos voltados para a Internet, especificamente aqueles usados ??para fins de segurança gerenciada (por exemplo, firewalls, dispositivos IPS\IDS, etc.).
As informações apontam que os ataques envolveram o uso de um backdoor sofisticado apelidado de BOLDMOVE, uma variante do Linux especificamente projetada para rodar nos firewalls FortiGate da Fortinet. Além disso, o vetor de intrusão em questão está relacionado à exploração de CVE-2022-42475, uma vulnerabilidade de estouro de buffer baseada em heap no FortiOS SSL-VPN que pode resultar na execução de código remoto não autenticado por meio de solicitações especificamente criadas.
Há alguns dias, a Fortinet divulgou que grupos de hackers desconhecidos capitalizaram a falha para atingir governos e outras grandes organizações com um implante Linux genérico capaz de fornecer cargas úteis adicionais e executar comandos enviados por um servidor remoto. No entanto, as descobertas mais recentes da Mandiant indicam que o agente da ameaça conseguiu abusar da vulnerabilidade como um zero dia a seu favor e violar redes direcionadas para operações de espionagem.
O malware, escrito em C, possui variantes do Windows e do Linux. A análise de metadados do sabor Windows do backdoor mostra que eles foram compilados já em 2021, embora nenhuma amostra tenha sido detectada na natureza.
O BOLDMOVE foi projetado para realizar uma pesquisa do sistema e é capaz de receber comandos de um servidor de comando e controle (C2) que, por sua vez, permite que os invasores executem operações de arquivo, gerem um shell remoto e retransmitam o tráfego por meio do host infectado.
Uma amostra estendida do malware para Linux vem com recursos extras para desabilitar e manipular os recursos de registro em uma tentativa de evitar a detecção, corroborando o relatório da Fortinet.