Uma vulnerabilidade Zero Day no FortiOS SSL-VPN foi explorada por cibercriminosos em ataques direcionados a governos e grandes corporações.
Os pesquisadores da Fortinet em uma análise publicada esta semana afirmam:
A complexidade da exploração sugere um ator avançado e altamente direcionado a alvos governamentais ou relacionados ao governo.
Os ataques envolveram a exploração da falha CVE-2022-42475, que utiliza o estouro de buffer com base em heap para permitir a um invasor não autenticado executar códigos arbitrários por meio de solicitações especificas.
A cadeia de infecção analisada pela empresa mostra que o objetivo final era implementar um código Linux genérico e modificado para FortiOS, equipado para comprometer o software do sistema de prevenção de intrusões (IPS) da Fortinet e estabelecer conexões com um servidor remoto para baixar malwares adicionais e executar comandos.
A Fortinet disse que não conseguiu recuperar os payloads dos estágios subsequentes dos ataques e também não divulgou quando as invasões ocorreram.
VEJA TAMBÉM: Firewall: O que é inspeção SSL (ou TLS)?
Além disso, o modus operandi revela o uso de ofuscação para impedir a análise, assim como recursos avançados para manipular o registro do FortiOS e encerrar os processos de registro para que os invasores permaneçam indetectáveis. Os pesquisadores completam:
Ele procura por arquivos elog, que são logs de eventos no FortiOS. Depois de descompactá-los na memória, ele procura uma string especificada pelo invasor, a exclui e reconstrói os logs.
A empresa também observou que a exploração requer um entendimento profundo do FortiOS e do hardware subjacente e que os hackers podem fazer engenharia reversa em diferentes partes do FortiOS.
Por fim, o relatório aponta que a amostra descoberta do Windows atribuída ao invasor exibia artefatos de ter sido compilada em uma máquina no fuso horário UTC+8, que inclui Austrália, China, Rússia, Cingapura e outros países do Leste Asiático.
Fontes: Help Net Security e The Hacker News
Conheça nossas soluções avançadas, robustas e seguras de NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral e Help Desk
