Actores de amenazas desconocidos han explotado una falla de seguridad en el software FortiOS de Fortinet para obtener acceso a los datos., causa la corrupción del sistema operativo y del archivo, y potencialmente conducir a otras actividades maliciosas.
La vulnerabilidad, CVE-2022-41328, es un error de recorrido de ruta con una puntuación CVSS de 6.5 que podría permitir que un actor de amenazas privilegiado lea y escriba archivos arbitrarios. Los investigadores de Fortinet han declarado que la complejidad del exploit sugiere un actor avanzado y que está altamente dirigido a objetivos gubernamentales o relacionados con el gobierno..
CVE-2022-41328: Lo que se sabe sobre la vulnerabilidad de FortiOS?
De acuerdo con el funcionario Aviso de Fortinet, CVE-2022-41328 es una vulnerabilidad en FortiOS ('recorrido de ruta') que restringe un nombre de ruta a un directorio limitado, y puede permitir que un atacante privilegiado lea y escriba cualquier archivo mediante la creación de comandos CLI específicos.
Los productos afectados incluyen los siguientes:
Versión de FortiOS 7.2.0 mediante 7.2.3
Versión de FortiOS 7.0.0 mediante 7.0.9
Versión de FortiOS 6.4.0 mediante 6.4.11
FortiOS 6.2 Todas las versiones
FortiOS 6.0 Todas las versiones
Fortinet lanzó recientemente parches para 15 vulnerabilidades de seguridad, incluido CVE-2022-41328 y un grave subdesbordamiento de búfer basado en montón que afecta a FortiOS y FortiProxy (CVE-2023-25610, Puntuación CVSS: 9.3). Estas correcciones están disponibles en versiones 6.4.12, 7.0.10, y 7.2.4 respectivamente. Después de que un cliente anónimo experimentó una “interrupción repentina del sistema y posterior falla de arranque” en sus dispositivos FortiGate, Fortinet sugirió que el problema podría haber sido causado por una violación de integridad.
Un ataque altamente dirigido
La investigación adicional del incidente descubrió que los actores de la amenaza habían alterado la imagen del firmware del dispositivo para incluir una nueva carga útil. (“/papelera/fgfm”). Este malware fue capaz de contactar a un servidor remoto, descargando archivos, transferir datos desde el host pirateado, y permitir el acceso remoto al shell. Las modificaciones al firmware también proporcionaron al atacante acceso y control continuos., e incluso eludió el proceso de verificación del firmware al inicio.
Fortinet informó que el ataque fue “altamente dirigido,” con indicaciones que apuntan a organizaciones gubernamentales o afiliadas al estado. La complejidad del exploit sugiere que el atacante tiene un gran conocimiento sobre FortiOS y el hardware subyacente., y tiene la experiencia necesaria para aplicar ingeniería inversa a diferentes componentes del sistema operativo FortiOS. No está claro si el actor de amenazas está vinculado a otro grupo de intrusos que se observó explotando una vulnerabilidad en FortiOS SSL-VPN (CVE-2022-42475) a principios de enero para instalar un implante de Linux.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: