Бесплатно Экспресс-аудит сайта:

14.01.2023

0-day уязвимость FortiOS использовалась в атаках на правительства

Уязвимость нулевого дня в FortiOS SSL-VPN, которую Fortinet устранила в декабре, использовалась неизвестными хакерами в атаках на правительства и различные крупные организации.

Киберпреступники эксплуатировали уязвимость переполнения буфера на основе кучи CVE-2022-42475 (CVSS: 9.8) , которая могла позволить удаленному неавторизованному злоумышленнику выполнить произвольный код с помощью специально созданных запросов.

Конечной целью цепочки заражения являлось развертывание универсального имплантата Linux, модифицированного для FortiOS, который оборудован для компрометации программного обеспечения системы предотвращения вторжений Fortinet (Intrusion Prevention System, IPS) и установления соединения с удаленным сервером для загрузки дополнительных вредоносных программ и выполнения команд.

Fortinet не смогла восстановить полезную нагрузку, которая использовалась на последующих этапах атак. Когда именно произошло вторжение, не сообщается.

Кроме того, хакеры использовали запутывание кода, чтобы помешать анализу, а также «расширенные возможности» для управления журналами FortiOS и прекращения процессов журналирования, чтобы оставаться незамеченными. Fortinet отметила , что эксплойт требует «глубокого понимания FortiOS и базового оборудования», а это означает, что злоумышленник обладает навыками реверс-инжиниринга различных частей FortiOS.

Обнаруженный образец Windows показал артефакты, которые были скомпилированы на машине в часовом поясе UTC+8, в который входят Австралия, Китай, Россия, Сингапур и другие страны Восточной Азии.