Unbekannte Angreifer nutzten Zero-Day-Exploits, um einen neuen FortiOS-Bug, der diesen Monat gepatcht wurde, für Angriffe auf Regierungen und große Organisationen zu missbrauchen, die zu Betriebssystem- und Dateibeschädigungen und Datenverlusten geführt haben.
Fortinet hat am 7. März 2023 Sicherheitsupdates veröffentlicht, um diese Sicherheitslücke mit hohem Schweregrad (CVE-2022-41328) zu beheben, die es Angreifern ermöglichte, nicht autorisierten Code oder Befehle auszuführen.
„Eine unsachgemäße Beschränkung eines Pfadnamens auf eine Sicherheitslücke in einem eingeschränkten Verzeichnis („path traversal“) [CWE-22] in FortiOS kann es einem privilegierten Angreifer ermöglichen, beliebige Dateien über manipulierte CLI-Befehle zu lesen und zu schreiben“, so das Unternehmen sagt in der Beratung.
Die Liste der betroffenen Produkte umfasst FortiOS Version 6.4.0 bis 6.4.11, FortiOS Version 7.0.0 bis 7.0.9, FortiOS Version 7.2.0 bis 7.2.3 und alle Versionen von FortiOS 6.0 und 6.2.
Um die Sicherheitslücke zu beheben, müssen Administratoren gefährdete Produkte auf FortiOS Version 6.4.12 und höher, FortiOS Version 7.0.10 und höher oder FortiOS Version 7.2.4 und höher aktualisieren.
Während das Advisory des Fehlers nicht erwähnte, dass der Fehler in freier Wildbahn ausgenutzt wurde, bevor Patches veröffentlicht wurden, enthüllte ein Fortinet-Bericht, der letzte Woche veröffentlicht wurde, dass CVE-2022-41328-Exploits zum Hacken und Hacken verwendet wurden Nehmen Sie mehrere FortiGate-Firewall-Geräte herunter gehört einem seiner Kunden.
Malware für Datendiebstahl
Der Vorfall wurde entdeckt, nachdem kompromittierte Fortigate-Geräte mit der Meldung „System wechselt in den Fehlermodus aufgrund eines FIPS-Fehlers: Selbsttest der Firmware-Integrität fehlgeschlagen“ heruntergefahren wurden und nicht erneut gestartet werden konnten.
Fortinet sagt, dass dies geschieht, weil seine FIPS-fähigen Geräte die Integrität der Systemkomponenten überprüfen und sie so konfiguriert sind, dass sie automatisch herunterfahren und das Booten stoppen, um eine Netzwerkverletzung zu blockieren, wenn eine Kompromittierung erkannt wird.
Diese Fortigate-Firewalls wurden über ein FortiManager-Gerät im Netzwerk des Opfers durchbrochen, da sie alle gleichzeitig angehalten wurden, mit der gleichen Taktik gehackt wurden und der Exploit FortiGate Path Traversal zur gleichen Zeit gestartet wurde wie Skripte, die über FortiManager ausgeführt wurden.
Die anschließende Untersuchung ergab, dass die Angreifer das Geräte-Firmware-Image (/sbin/init) modifizierten, um eine Payload (/bin/fgfm) zu starten, bevor der Startvorgang begann.
Diese Malware ermöglicht die Exfiltration von Daten, das Herunterladen und Schreiben von Dateien oder das Öffnen von Remote-Shells, wenn sie ein ICMP-Paket erhält, das die Zeichenfolge „;7(Zu9YTsA7qQ#vm“ enthält.
Zero-Day wird verwendet, um Regierungsnetzwerke anzugreifen
Fortinet kam zu dem Schluss, dass die Angriffe sehr zielgerichtet waren, wobei einige Beweise zeigen, dass die Bedrohungsakteure Regierungsnetzwerke bevorzugten. Die Angreifer haben auch „erweiterte Fähigkeiten“ demonstriert, darunter das Reverse-Engineering von Teilen des Betriebssystems der FortiGate-Geräte.
„Der Angriff ist sehr gezielt, mit einigen Hinweisen auf bevorzugte staatliche oder regierungsnahe Ziele“, sagte das Unternehmen.
„Der Exploit erfordert ein tiefes Verständnis von FortiOS und der zugrunde liegenden Hardware. Benutzerdefinierte Implantate zeigen, dass der Akteur über fortgeschrittene Fähigkeiten verfügt, einschließlich des Reverse-Engineering verschiedener Teile von FortiOS.“
Fortinet-Kunden wird empfohlen, sofort auf eine gepatchte Version von FortiOS zu aktualisieren, um potenzielle Angriffsversuche zu blockieren (eine Liste der IOCs ist ebenfalls verfügbar Hier).
Im Januar veröffentlichte Fortinet eine sehr ähnliche Reihe von Vorfällen, bei denen eine SSL-VPN-Schwachstelle von FortiOS im Dezember 2022 gepatcht und nachverfolgt wurde CVE-2022-42475 wurde auch als Zero-Day-Fehler verwendet, um Regierungsorganisationen und regierungsnahe Einrichtungen anzugreifen.
Die SSL-VPN-Zero-Day-Angriffe von FortiOS haben viele Ähnlichkeiten mit einer chinesischen Hacking-Kampagne, die ungepatchte SonicWall Secure Mobile Access (SMA)-Appliances mit Cyberspionage-Malware infizierte, die Firmware-Upgrades überlebt.
wpDiscuz