Onbekende aanvallers hebben misbruik gemaakt van een beveiligingslek in de FortiOS-software van Fortinet om toegang te krijgen tot gegevens, OS en bestandscorruptie veroorzaken, en mogelijk leiden tot andere kwaadaardige activiteiten.
De kwetsbaarheid, CVE-2022-41328, is een path traversal-bug met een CVSS-score van 6.5 waarmee een geprivilegieerde bedreigingsactor willekeurige bestanden kan lezen en schrijven. Fortinet-onderzoekers hebben verklaard dat de complexiteit van de exploit een geavanceerde actor suggereert en dat deze zeer gericht is op overheids- of overheidsgerelateerde doelen..
CVE-2022-41328: Wat is er bekend over de FortiOS-kwetsbaarheid?
Volgens de officiële Fortinet advies, CVE-2022-41328 is een kwetsbaarheid in FortiOS ('pad doorkruisen') dat een padnaam beperkt tot een beperkte map, en kan een bevoorrechte aanvaller in staat stellen alle bestanden te lezen en te schrijven door specifieke CLI-opdrachten te maken.
Betrokken producten omvatten het volgende:
FortiOS-versie 7.2.0 door 7.2.3
FortiOS-versie 7.0.0 door 7.0.9
FortiOS-versie 6.4.0 door 6.4.11
FortiOS 6.2 alle versies
FortiOS 6.0 alle versies
Fortinet heeft onlangs patches uitgebracht voor 15 beveiligingsproblemen, inclusief CVE-2022-41328 en een ernstige heap-gebaseerde bufferonderstroom die gevolgen heeft voor FortiOS en FortiProxy (CVE-2023-25610, CVSS-score: 9.3). Deze fixes zijn beschikbaar in versies 6.4.12, 7.0.10, en 7.2.4 respectievelijk. Nadat een naamloze klant een “plotselinge systeemstop en daaropvolgende opstartfout” op hun FortiGate-apparaten, Fortinet suggereerde dat het probleem veroorzaakt zou kunnen zijn door een integriteitsschending.
Een zeer gerichte aanval
Nader onderzoek van het incident bracht aan het licht dat de bedreigingsactoren de firmware-image van het apparaat hadden gewijzigd om een nieuwe payload op te nemen (“/bin/fgfm”). Deze malware kon contact opnemen met een externe server, bestanden downloaden, gegevens overdragen van de gehackte host, en externe shell-toegang toestaan. De aanpassingen aan de firmware gaven de aanvaller ook continue toegang en controle, en omzeilde zelfs het verificatieproces van de firmware bij het opstarten.
Fortinet meldde dat de aanval was “zeer gericht,” met aanwijzingen die wijzen op overheids- of aan de staat gelieerde organisaties. De complexiteit van de exploit suggereert dat de aanvaller zeer goed geïnformeerd is over FortiOS en de onderliggende hardware, en heeft de nodige expertise om verschillende componenten van het FortiOS-besturingssysteem te reverse-engineeren. Het is onduidelijk of de bedreigingsactor is gekoppeld aan een andere indringersgroep die misbruik maakte van een kwetsbaarheid in FortiOS SSL-VPN (CVE-2022-42475) begin januari om een Linux-implantaat te installeren.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: