Ukendte trusselsaktører har udnyttet en sikkerhedsbrist i Fortinets FortiOS-software til at få adgang til data, forårsage OS og fil korruption, og potentielt føre til andre ondsindede aktiviteter.
Sårbarheden, CVE-2022-41328, er en stigennemløbsfejl med en CVSS-score på 6.5 der kunne give en privilegeret trussel aktør mulighed for at læse og skrive vilkårlige filer. Fortinet-forskere har udtalt, at udnyttelsens kompleksitet tyder på en avanceret aktør, og at den er meget målrettet mod statslige eller regeringsrelaterede mål..
CVE-2022-41328: Hvad er kendt om FortiOS-sårbarheden?
Ifølge den officielle Fortinet rådgivende, CVE-2022-41328 er en sårbarhed i FortiOS ("stigennemgang") der begrænser et stinavn til en begrænset mappe, og kan tillade en privilegeret angriber at læse og skrive alle filer ved at oprette specifikke CLI-kommandoer.
Berørte produkter omfatter følgende:
FortiOS version 7.2.0 igennem 7.2.3
FortiOS version 7.0.0 igennem 7.0.9
FortiOS version 6.4.0 igennem 6.4.11
FortiOS 6.2 alle versioner
FortiOS 6.0 alle versioner
Fortinet har for nylig udgivet patches til 15 sikkerhedshuller, inklusive CVE-2022-41328 og et seriøst heap-baseret bufferunderflow, der påvirker FortiOS og FortiProxy (CVE-2023-25610, CVSS-score: 9.3). Disse rettelser er tilgængelige i versioner 6.4.12, 7.0.10, og 7.2.4 henholdsvis. Efter at en unavngiven kunde oplevede en “pludselig systemstop og efterfølgende opstartsfejl” på deres FortiGate-enheder, Fortinet foreslog, at problemet kunne være forårsaget af et integritetsbrud.
Et meget målrettet angreb
Yderligere undersøgelse af hændelsen afslørede, at trusselsaktørerne havde ændret enhedens firmwarebillede til at inkludere en ny nyttelast (“/bin/fgfm”). Denne malware var i stand til at kontakte en ekstern server, downloader filer, overføre data fra den hackede vært, og tillader ekstern shell-adgang. Ændringerne af firmwaren gav også angriberen kontinuerlig adgang og kontrol, og endda omgået firmwareverifikationsprocessen ved opstart.
Fortinet rapporterede, at angrebet var “meget målrettet,” med indikationer, der peger på statslige eller statstilknyttede organisationer. Kompleksiteten af udnyttelsen tyder på, at angriberen er meget vidende om FortiOS og den underliggende hardware, og har den nødvendige ekspertise til at reverse engineering af forskellige komponenter i FortiOS-operativsystemet. Det er uklart, om trusselsaktøren er knyttet til en anden indtrængende gruppe, der blev observeret udnytte en sårbarhed i FortiOS SSL-VPN (CVE-2022-42475) i begyndelsen af januar for at installere et Linux-implantat.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: