Af Eskil Sørensen, 23/01/23
En formodet kinesisk trusselsaktør har udnyttet en sårbarhed i Fortinet FortiOS SSL-VPN som en 0-dagssårbarhed i et angreb rettet mod en europæisk myndighed og Managed Service Provider (MSP) i Afrika.
Det interessante i denne sag er, at data viser, at udnyttelsen fandt sted allerede i oktober 2022, hvilket er næsten to måneder før rettelserne til Fortinet FortiOS blev frigivet. Det er den Google-ejede sikkerhedsvirksomhed Mandiant, der har fundet data, der indikerer dette.
I Mandiants rapport, som er refereret i The Hacker News vurderes det, at det markerer en fortsættelse af Kinas udnyttelse af internetvendte enheder, særligt dem, der bruges til administrerede sikkerhedsløsninger (f.eks. firewalls, IPS\IDS-apparater osv.).
I dette tilfælde indebar angrebene brug af en bagdør kaldet BOLDMOVE, hvor en Linux-variant er specifikt designet til at køre på Fortinets FortiGate-firewalls. Selve angrebet fandt sted ved udnyttelse af sårbarheden med id-nummer CVE-2022-42475, der er heap-baseret bufferoverløbssårbarhed i FortiOS SSL-VPN. Denne kan resultere i uautoriseret fjernafvikling af kode via specifikt udformede anmodninger.
Rettet den 12. december
Er dette rigtigt, har trusselsaktøren således formået at misbruge sårbarheden som en 0-dagssårbarhed og trænge ind i netværk, som antageligvis har været udvalgt på forhånd mhp. spionage, skriver The Hacker News. Spionagevinklen er fremhævet, fordi angriberne også udviklede malware via bagdøren. Dette ’..viser en dybdegående forståelse af systemer, tjenester, logning og udokumenterede proprietære formater’, fremgår det.
For systemadministratorer er det naturligvis problematisk, at sårbarheder bliver udnyttet, før de er rettet; det er det, der giver dem betegnelsen 0-dagssårbarheder, og som regel oplyser producenter af løsninger ifm. opdateringer, om der er tale om 0-dage eller ej. Udfaldet af denne sag må nødvendigvis betyde, at man ikke kan være sikker på, om en sårbarhed rent faktisk er en 0-dag, når den bliver patchet.
En patch til sårbarheden blev i øvrigt udsendt den 12. december sidste år og dagen efter blev den lagt ind i kataloget over kendte udnyttede sårbarheder med deadline for amerikanske føderale myndigheders håndtering senest den 3. januar i år.
Tidligere på måneden afslørede Fortinet, at ukendte hackergrupper har angrebet regeringer og andre store organisationer med et generisk Linux-implantat, der er i stand til at levere yderligere payload og fjernafvikle kommandoer fra en ekstern server.
Links:
https://thehackernews.com/2023/01/new-chinese-malware-spotted-exploiting.html
https://www.fortiguard.com/psirt/FG-IR-22-398
https://nvd.nist.gov/vuln/detail/CVE-2022-42475
https://cert.dk/da/news/2022-10-11/De-tyve-mest-populaere-saarbarheder-i-Kina