Atores de ameaças desconhecidos exploraram uma falha de segurança no software FortiOS da Fortinet para obter acesso aos dados, causar corrupção do sistema operacional e arquivos, e potencialmente levar a outras atividades maliciosas.
a vulnerabilidade, CVE-2022-41328, é um bug de path traversal com uma pontuação CVSS de 6.5 que poderia permitir que um agente de ameaça privilegiado lesse e gravasse arquivos arbitrários. Os pesquisadores da Fortinet afirmaram que a complexidade da exploração sugere um ator avançado e que é altamente direcionado a alvos governamentais ou relacionados ao governo.
CVE-2022-41328: O que se sabe sobre a vulnerabilidade do FortiOS?
De acordo com o oficial Consultoria Fortinet, CVE-2022-41328 é uma vulnerabilidade no FortiOS ('travessia de caminho') que restringe um nome de caminho a um diretório limitado, e pode permitir que um invasor privilegiado leia e grave qualquer arquivo criando comandos CLI específicos.
Os produtos afetados incluem os seguintes:
Versão do FortiOS 7.2.0 através 7.2.3
Versão do FortiOS 7.0.0 através 7.0.9
Versão do FortiOS 6.4.0 através 6.4.11
FortiOS 6.2 Todas versões
FortiOS 6.0 Todas versões
A Fortinet lançou recentemente patches para 15 vulnerabilidades de segurança, incluindo CVE-2022-41328 e um sério estouro de buffer baseado em heap afetando FortiOS e FortiProxy (CVE-2023-25610, pontuação CVSS: 9.3). Essas correções estão disponíveis em versões 6.4.12, 7.0.10, e 7.2.4 respectivamente. Depois que um cliente não identificado experimentou um “parada repentina do sistema e subsequente falha de inicialização” em seus dispositivos FortiGate, A Fortinet sugeriu que o problema poderia ter sido causado por uma violação de integridade.
Um ataque altamente direcionado
Uma investigação mais aprofundada do incidente revelou que os agentes da ameaça alteraram a imagem do firmware do dispositivo para incluir uma nova carga útil (“/bin/fgfm”). Este malware foi capaz de entrar em contato com um servidor remoto, baixando arquivos, transferindo dados do host hackeado, e permitindo acesso remoto ao shell. As modificações no firmware também forneceram ao invasor acesso e controle contínuos, e até contornou o processo de verificação do firmware na inicialização.
A Fortinet informou que o ataque foi “altamente direcionado,” com indicações apontando para organizações governamentais ou afiliadas ao estado. A complexidade da exploração sugere que o invasor conhece bem o FortiOS e o hardware subjacente, e tem o conhecimento necessário para fazer engenharia reversa de diferentes componentes do sistema operacional FortiOS. Não está claro se o agente da ameaça está vinculado a outro grupo de intrusão que foi observado explorando uma vulnerabilidade no FortiOS SSL-VPN (CVE-2022-42475) no início de janeiro para instalar um implante Linux.