Ataques de dia zero ao firewall Fortinet são ligados a chineses

Da Redação
16/03/2023

Um suposto grupo de hackers chineses foi vinculado a uma série de ataques a organizações governamentais que exploram uma vulnerabilidade de dia zero (CVE-2022-41328) em dispositivos de firewall FortiGate não corrigidos, conforme divulgado pela Fortinet na semana passada.

A falha de segurança permitiu que operadores de ameaças implantassem cargas úteis de malware executando códigos ou comandos não autorizados em dispositivos de firewall FortiGate. Análises posteriores revelaram que os invasores podem usar o malware para espionagem cibernética, incluindo exfiltração de dados, download e gravação de arquivos em dispositivos comprometidos ou abertura de shells remotos ao receber pacotes ICMP (Internet Control Message Protocol, ou protocolo de mensagens de controle da internet), criados com códigos maliciosos.

Um dos incidentes foi descoberto quando os dispositivos FortiGate de um cliente foram desligados com erros vinculados à integridade do firmware FIPS (Federal Information Processing Standards, ou padrões federais de processamento de informações), tornando-os inoperáveis.

Os dispositivos pararam de inicializar para evitar a infiltração na rede, uma prática padrão para sistemas habilitados para FIPS. Os firewalls foram comprometidos usando uma exploração de path traversal CVE-2022-41328 FortiGate, e seu desligamento simultâneo levou a Fortinet a suspeitar que o ataque se originou de um dispositivo FortiManager.

A empresa disse que esses ataques foram altamente direcionados contra redes governamentais e grandes organizações, com os invasores também apresentando “capacidades avançadas”, incluindo a engenharia reversa do sistema operacional dos dispositivos FortiGate. “O ataque é altamente direcionado, com alguns indícios de alvos governamentais ou relacionados ao governo preferidos”, disse Fortinet.

Veja isso
Fortinet alerta sobre nova vulnerabilidade RCE crítica
Alerta da Fortinet para vulnerabilidade crítica no FortiOS

Contudo, a empresa disse que a exploração requer uma compreensão profunda do FortiOS e do hardware subjacente. “As implantações personalizadas mostram que o operador possui recursos avançados, incluindo a engenharia reversa de várias partes do FortiOS.”

Um novo relatório da Mandiant diz que os ataques ocorreram em meados de 2022 e os atribui a um grupo de ameaças relacionado à China que a empresa rastreia como UNC3886. “As vítimas recentes dos operadores de espionagem chineses incluem DIB, governo, telecomunicações e tecnologia”, disse o CTO da Mandiant, Charles Carmakal, ao BleepingComputer. “Dado o quão incrivelmente difícil eles são de encontrar, a maioria das organizações não consegue identificá-los por conta própria. Não é incomum que as campanhas chinesas acabem como invasões de vários anos”, completou.

Compartilhar: