Unbekannte Angreifer haben eine Sicherheitslücke in der FortiOS-Software von Fortinet ausgenutzt, um sich Zugang zu Daten zu verschaffen, Betriebssystem und Dateibeschädigung verursachen, und möglicherweise zu anderen böswilligen Aktivitäten führen.
Die Sicherheitslücke, CVE-2022-41328, ist ein Path-Traversal-Bug mit einem CVSS-Score von 6.5 die es einem privilegierten Angreifer ermöglichen könnten, beliebige Dateien zu lesen und zu schreiben. Forscher von Fortinet haben erklärt, dass die Komplexität des Exploits auf einen fortgeschrittenen Akteur hindeutet und dass er in hohem Maße auf staatliche oder regierungsnahe Ziele abzielt.
CVE-2022-41328: Was über die FortiOS-Schwachstelle bekannt ist?
Nach dem offiziellen Fortinet-Beratung, CVE-2022-41328 ist eine Schwachstelle in FortiOS ('Wegdurchquerung') das einen Pfadnamen auf ein begrenztes Verzeichnis beschränkt, und kann einem privilegierten Angreifer erlauben, beliebige Dateien zu lesen und zu schreiben, indem er bestimmte CLI-Befehle erstellt.
Zu den betroffenen Produkten gehören die folgenden:
FortiOS-Version 7.2.0 durch 7.2.3
FortiOS-Version 7.0.0 durch 7.0.9
FortiOS-Version 6.4.0 durch 6.4.11
FortiOS 6.2 alle Versionen
FortiOS 6.0 alle Versionen
Fortinet hat kürzlich Patches für veröffentlicht 15 Sicherheitslücken, einschließlich CVE-2022-41328 und einem schwerwiegenden Heap-basierten Pufferunterlauf, der sich auf FortiOS und FortiProxy auswirkt (CVE-2023-25610, CVSS-Score: 9.3). Diese Fixes sind in Versionen verfügbar 6.4.12, 7.0.10, und 7.2.4 beziehungsweise. Nachdem ein namentlich nicht genannter Kunde a “plötzlicher Systemstopp und nachfolgender Startfehler” auf ihren FortiGate-Geräten, Fortinet schlug vor, dass das Problem durch eine Integritätsverletzung verursacht worden sein könnte.
Ein sehr gezielter Angriff
Weitere Untersuchungen des Vorfalls ergaben, dass die Bedrohungsakteure das Firmware-Image des Geräts geändert hatten, um eine neue Nutzlast aufzunehmen (“/bin/fgfm”). Diese Malware war in der Lage, einen Remote-Server zu kontaktieren, Herunterladen von Dateien, Übertragen von Daten vom gehackten Host, und Remote-Shell-Zugriff erlauben. Die Modifikationen an der Firmware verschafften dem Angreifer auch kontinuierlichen Zugriff und Kontrolle, und hat sogar den Firmware-Verifizierungsprozess beim Start umgangen.
Fortinet berichtete, dass der Angriff war “sehr gezielt,” mit Hinweisen auf staatliche oder staatsnahe Organisationen. Die Komplexität des Exploits deutet darauf hin, dass der Angreifer sehr gut über FortiOS und die zugrunde liegende Hardware Bescheid weiß, und verfügt über das notwendige Fachwissen, um verschiedene Komponenten des FortiOS-Betriebssystems zurückzuentwickeln. Es ist unklar, ob der Angreifer mit einer anderen Einbruchsgruppe verbunden ist, die beobachtet wurde, wie sie eine Schwachstelle in FortiOS SSL-VPN ausnutzt (CVE-2022-42475) Anfang Januar ein Linux-Implantat zu installieren.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: