Attori di minacce sconosciute hanno sfruttato una falla di sicurezza nel software FortiOS di Fortinet per ottenere l'accesso ai dati, causare il danneggiamento del sistema operativo e dei file, e potenzialmente portare ad altre attività dannose.
La vulnerabilità, CVE-2022-41328, è un bug di path traversal con un punteggio CVSS di 6.5 che potrebbe consentire a un attore di minacce privilegiato di leggere e scrivere file arbitrari. I ricercatori di Fortinet hanno affermato che la complessità dell'exploit suggerisce un attore avanzato e che è altamente mirato a obiettivi governativi o legati al governo.
CVE-2022-41328: Cosa si sa sulla vulnerabilità di FortiOS?
Secondo il funzionario Consulenza Fortinet, CVE-2022-41328 è una vulnerabilità in FortiOS ('percorso di attraversamento') che limita un percorso a una directory limitata, e può consentire a un utente malintenzionato con privilegi di leggere e scrivere qualsiasi file creando comandi CLI specifici.
I prodotti interessati includono quanto segue:
Versione FortiOS 7.2.0 attraverso 7.2.3
Versione FortiOS 7.0.0 attraverso 7.0.9
Versione FortiOS 6.4.0 attraverso 6.4.11
Forti OS 6.2 tutte le versioni
Forti OS 6.0 tutte le versioni
Fortinet ha recentemente rilasciato patch per 15 vulnerabilità di sicurezza, incluso CVE-2022-41328 e un grave underflow del buffer basato su heap che ha un impatto su FortiOS e FortiProxy (CVE-2023-25610, Punteggio CVSS: 9.3). Queste correzioni sono disponibili nelle versioni 6.4.12, 7.0.10, e 7.2.4 rispettivamente. Dopo che un cliente anonimo ha sperimentato a “arresto improvviso del sistema e successivo errore di avvio” sui loro dispositivi FortiGate, Fortinet ha suggerito che il problema potrebbe essere stato causato da una violazione dell'integrità.
Un attacco altamente mirato
Ulteriori indagini sull'incidente hanno rivelato che gli autori delle minacce avevano alterato l'immagine del firmware del dispositivo per includere un nuovo payload (“/bin/fgfm”). Questo malware era in grado di contattare un server remoto, download di file, trasferimento di dati dall'host compromesso, e consentire l'accesso alla shell remota. Le modifiche al firmware hanno inoltre fornito all'aggressore accesso e controllo continui, e persino aggirato il processo di verifica del firmware all'avvio.
Fortinet ha riferito che l'attacco è stato “altamente mirato,” con indicazioni che puntano a organizzazioni governative o affiliate allo stato. La complessità dell'exploit suggerisce che l'attaccante è altamente informato su FortiOS e l'hardware sottostante, e ha le competenze necessarie per eseguire il reverse engineering di diversi componenti del sistema operativo FortiOS. Non è chiaro se l'autore della minaccia sia legato a un altro gruppo di intrusioni che è stato osservato sfruttare una vulnerabilità in FortiOS SSL-VPN (CVE-2022-42475) all'inizio di gennaio per installare un impianto Linux.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: