Falha no FortiOS é explorada por cibercriminosos
Uma vulnerabilidade de Zero Day no FortiOS SSL-VPN que a Fortinet abordou no mês passado foi explorada por cibercriminosos desconhecidos em ataques direcionados ao governo e outras grandes organizações. “A complexidade da exploração sugere um ator avançado e altamente direcionado a alvos governamentais ou relacionados ao governo”, disseram pesquisadores da Fortinet em uma análise post-mortem publicada esta semana.
Os ataques envolveram a exploração de CVE-2022-42475, uma falha de estouro de buffer baseada em heap que poderia permitir que um invasor remoto não autenticado executasse código arbitrário por meio de solicitações especificamente criadas.
A cadeia de infecção analisada pela empresa mostra que o objetivo final era implantar um implante Linux genérico modificado para FortiOS, equipado para comprometer o software do sistema de prevenção de intrusão ( IPS ) da Fortinet e estabelecer conexões com um servidor remoto para baixar malware adicional e executar comandos. A Fortinet disse que não conseguiu recuperar as cargas usadas nos estágios subsequentes dos ataques.
Não divulgou quando as invasões ocorreram. Além disso, o modus operandi revela o uso de ofuscação para impedir a análise, bem como “recursos avançados” para manipular o registro do FortiOS e encerrar os processos de registro para permanecerem indetectáveis. “Ele procura por arquivos elog, que são logs de eventos no FortiOS”, disseram os pesquisadores. “Depois de descompactá-los na memória, ele procura uma string especificada pelo invasor, a exclui e reconstrói os logs”.
Fonte: BoletimSec
Publicado em: Cybersegurança