alphabet-3349829_1280-1.jpg

Fortinet diz que falha no SSL-VPN de dia zero está corrigida

Da Redação
15/01/2023

A Fortinet alertou que invasores exploraram uma vulnerabilidade de dia zero no SSL-VPN (protocolo de segurança) do sistema operacional FortiOS corrigido no mês passado em ataques contra instituições governamentais e alvos relacionados ao setor de governo.

A falha de segurança (CVE-2022-42475) explorada nesses incidentes é uma fraqueza de estouro de buffer baseada em heap encontrada no FortiOS SSLVPNd que permitia que invasores não autenticados travassem dispositivos de destino remotamente ou obtivessem execução remota de código (RCE).

A empresa de segurança de rede pediu aos clientes em meados de dezembro que corrigissem seus dispositivos contra ataques contínuos que exploravam essa vulnerabilidade depois de corrigir silenciosamente o bug em 28 de novembro no FortiOS 7.2.3 — e sem divulgar informações de que era um dia zero.

Os clientes foram alertados em particular sobre esse problema em 7 de dezembro por meio de um comunicado TLP:Amber. Mais informações foram divulgadas em 12 de dezembro, incluindo um aviso de que o bug estava sendo explorado ativamente em ataques.

“A Fortinet está ciente de uma instância em que essa vulnerabilidade foi explorada em estado selvagem”, disse a empresa à época, recomendando aos administradores que verificassem imediatamente seus sistemas em uma lista de indicadores de comprometimento compartilhados neste comunicado.

Nesta quarta-feira, 11, a Fortinet publicou um relatório de acompanhamento revelando que os invasores estavam usando exploits CVE-2022-42475 para comprometer os dispositivos FortiOS SSL-VPN para implantar malware implantado como uma versão trojanizada do IPS Engine.

A empresa disse que os ataques do operador da ameaça foram altamente direcionados, com evidências encontradas durante a análise mostrando um foco nas redes governamentais. “A complexidade da exploração sugere um ator avançado e altamente direcionado a alvos governamentais ou relacionados ao governo”, disse a Fortinet.

Os invasores estavam focados em manter a persistência e evitar a detecção usando a vulnerabilidade para instalar malware que corrige os processos de log do FortiOS para que entradas de log específicas pudessem ser removidas ou até mesmo matar os processos de log, se necessário.

Cargas adicionais baixadas em dispositivos comprometidos revelaram que o malware também quebrou a funcionalidade do sistema de prevenção de intrusão (IPS) dos dispositivos comprometidos, projetada para detectar ameaças monitorando constantemente o tráfego de rede para bloquear tentativas de violação de segurança.

Veja isso
Fortinet alerta sobre falha RCE que vem sendo explorada
Fortinet relança serviço gratuito de avaliação de segurança em OT

“O malware corrige os processos de registro do FortiOS para manipular os registros para evitar a detecção”, disse a Fortinet. “O malware pode manipular arquivos de log. Ele procura por arquivos elog, que são logs de eventos no FortiOS. Depois de descompactá-los na memória, ele procura uma string especificada pelo invasor, apaga e reconstrói os logs.”

A Fortinet alertou que outras cargas maliciosas foram baixadas de um site remoto durante os ataques, mas não puderam ser recuperadas para análise. A empresa concluiu que o operador da ameaça por trás da exploração CVE-2022-42475 do mês passado mostra “capacidades avançadas”, incluindo a potencial de fazer engenharia reversa de partes do sistema operacional FortiOS.

A empresa aconselha os clientes a atualizarem imediatamente para uma versão corrigida do FortiOS para bloquear tentativas de ataque e entrar em contato com o suporte da Fortinet se encontrarem indicadores de comprometimento vinculados aos ataques de dezembro. Com agências de notícias internacionais.

Compartilhar: