A feltételezett China-nexus fenyegetettség szereplője kihasználta a Fortinet FortiOS SSL-VPN nemrég kijavított sebezhetőségét nulladik napként olyan támadásokban, amelyek egy európai kormányzati szervezetet és egy Afrikában található felügyelt szolgáltatót (MSP) céloznak meg.
A Google tulajdonában lévő Mandiant által gyűjtött telemetriai bizonyítékok azt mutatják, hogy a kiaknázás már 2022 októberében megtörtént, vagyis legalább két hónappal a javítások megjelenése előtt. A feltételezett China-nexus fenyegetett szereplő nullaként használta ki a Fortinet FortiOS SSL-VPN nemrégiben kijavított sebezhetőségét. -nap a támadásokban
Ez az incidens folytatódik Kínában, amikor olyan internetkapcsolattal rendelkező eszközöket használ ki, amelyeket kifejezetten menedzselt biztonsági célokra használnak (pl. tűzfalak, IPS\IDS-eszközök stb.).
A támadások egy kifinomult, BOLDMOVE névre keresztelt hátsó ajtó használatát foglalták magukban, amely egy Linux-változat, amelyet kifejezetten a Fortinet FortiGate tűzfalain való futtatásra terveztek.
A szóban forgó behatolási vektor a CVE-2022-42475 kihasználásához kapcsolódik, amely a FortiOS SSL-VPN halomalapú puffertúlcsordulási sebezhetősége, amely hitelesítés nélküli távoli kódfuttatást eredményezhet speciálisan kialakított kéréseken keresztül.
A Fortinet felfedte, hogy az ismeretlen hackercsoportok kihasználták azt a hiányosságot, hogy a kormányokat és más nagy szervezeteket olyan általános Linux-implantátummal célozzák meg, amely képes további rakományok szállítására és távoli szerver által küldött parancsok végrehajtására.
A Mandiant legfrissebb eredményei azt mutatják, hogy a fenyegetettség szereplőjének sikerült nulladik napként visszaélnie a sebezhetőséggel annak érdekében, hogy előnyére tegyen szert, és áttörte a kémműveletek célzott hálózatait.
A BOLDMOVE segítségével a támadók nem csak egy kihasználást és rosszindulatú szoftvert fejlesztettek ki, amely a rendszerek, szolgáltatások és a nem dokumentált tulajdonjogok alapos megértését mutatja.
A C nyelven írt rosszindulatú program állítólag Windows és Linux verziókkal rendelkezik, amely utóbbi képes adatokat olvasni a Fortinet tulajdonát képező fájlformátumból. A hátsó ajtó Windows-változatainak metaadatelemzése azt mutatja, hogy 2021-ben állították össze őket, bár a vadonban nem észleltek mintát.
A BOLDMOVE olyan rendszerfelmérés elvégzésére szolgál, amely képes parancsokat fogadni egy parancs- és vezérlőkiszolgálóról (C2), amely lehetővé teszi a támadók számára, hogy olyan fájlműveleteket hajtsanak végre, amelyek távoli shellt generálnak, és forgalmat továbbítanak a fertőzött gazdagépen.