0-day уязвимость FortiOS использовалась в атаках на правительства

0-day уязвимость FortiOS использовалась в атаках на правительства

Исправленная уязвимость стала основой для обхода защитных механизмов правительственных систем.

image

Уязвимость нулевого дня в FortiOS SSL-VPN, которую Fortinet устранила в декабре, использовалась неизвестными хакерами в атаках на правительства и различные крупные организации.

Киберпреступники эксплуатировали уязвимость переполнения буфера на основе кучи CVE-2022-42475 (CVSS: 9.8) , которая могла позволить удаленному неавторизованному злоумышленнику выполнить произвольный код с помощью специально созданных запросов.

Конечной целью цепочки заражения являлось развертывание универсального имплантата Linux, модифицированного для FortiOS, который оборудован для компрометации программного обеспечения системы предотвращения вторжений Fortinet (Intrusion Prevention System, IPS) и установления соединения с удаленным сервером для загрузки дополнительных вредоносных программ и выполнения команд.

Fortinet не смогла восстановить полезную нагрузку, которая использовалась на последующих этапах атак. Когда именно произошло вторжение, не сообщается.

Кроме того, хакеры использовали запутывание кода, чтобы помешать анализу, а также «расширенные возможности» для управления журналами FortiOS и прекращения процессов журналирования, чтобы оставаться незамеченными. Fortinet отметила , что эксплойт требует «глубокого понимания FortiOS и базового оборудования», а это означает, что злоумышленник обладает навыками реверс-инжиниринга различных частей FortiOS.

Обнаруженный образец Windows показал артефакты, которые были скомпилированы на машине в часовом поясе UTC+8, в который входят Австралия, Китай, Россия, Сингапур и другие страны Восточной Азии.

Устали от того, что Интернет знает о вас все?

Присоединяйтесь к нам и станьте невидимыми!