A feltételezett China-nexus fenyegetettség szereplője kihasználta a Fortinet FortiOS SSL-VPN nemrég kijavított sebezhetőségét nulladik napként olyan támadásokban, amelyek egy európai kormányzati szervezetet és egy Afrikában található felügyelt szolgáltatót (MSP) céloznak meg.
A Google tulajdonában lévő Mandiant által gyűjtött telemetriai bizonyítékok azt mutatják, hogy a kiaknázás már 2022 októberében megtörtént, vagyis legalább két hónappal a javítások megjelenése előtt. A feltételezett China-nexus fenyegetett szereplő nullaként használta ki a Fortinet FortiOS SSL-VPN nemrégiben kijavított sebezhetőségét. -nap a támadásokban
Ez az incidens folytatódik Kínában, amikor olyan internetkapcsolattal rendelkező eszközöket használ ki, amelyeket kifejezetten menedzselt biztonsági célokra használnak (pl. tűzfalak, IPS\IDS-eszközök stb.).
A támadások egy kifinomult, BOLDMOVE névre keresztelt hátsó ajtó használatát foglalták magukban, amely egy Linux-változat, amelyet kifejezetten a Fortinet FortiGate tűzfalain való futtatásra terveztek.
A szóban forgó behatolási vektor a CVE-2022-42475 kihasználásához kapcsolódik, amely a FortiOS SSL-VPN halomalapú puffertúlcsordulási sebezhetősége, amely hitelesítés nélküli távoli kódfuttatást eredményezhet speciálisan kialakított kéréseken keresztül.
A Fortinet felfedte, hogy az ismeretlen hackercsoportok kihasználták azt a hiányosságot, hogy a kormányokat és más nagy szervezeteket olyan általános Linux-implantátummal célozzák meg, amely képes további rakományok szállítására és távoli szerver által küldött parancsok végrehajtására.
A Mandiant legfrissebb eredményei azt mutatják, hogy a fenyegetettség szereplőjének sikerült nulladik napként visszaélnie a sebezhetőséggel annak érdekében, hogy előnyére tegyen szert, és áttörte a kémműveletek célzott hálózatait.
A BOLDMOVE segítségével a támadók nem csak egy kihasználást és rosszindulatú szoftvert fejlesztettek ki, amely a rendszerek, szolgáltatások és a nem dokumentált tulajdonjogok alapos megértését mutatja.
A C nyelven írt rosszindulatú program állítólag Windows és Linux verziókkal rendelkezik, amely utóbbi képes adatokat olvasni a Fortinet tulajdonát képező fájlformátumból. A hátsó ajtó Windows-változatainak metaadatelemzése azt mutatja, hogy 2021-ben állították össze őket, bár a vadonban nem észleltek mintát.
A BOLDMOVE olyan rendszerfelmérés elvégzésére szolgál, amely képes parancsokat fogadni egy parancs- és vezérlőkiszolgálóról (C2), amely lehetővé teszi a támadók számára, hogy olyan fájlműveleteket hajtsanak végre, amelyek távoli shellt generálnak, és forgalmat továbbítanak a fertőzött gazdagépen.
Magyar 
English 
हिन्दी 
ગુજરાતી 
தமிழ் 
తెలుగు 
मराठी 
മലയാളം 
বাংলা 
Français de Belgique 
Deutsch (Schweiz) 
Deutsch (Sie) 
Deutsch 
English (Canada) 
English (New Zealand) 
English (UK) 
English (Australia) 
English (South Africa) 
Afrikaans 
اردو 
العربية 
Русский 
简体中文 
Azərbaycan dili 
অসমীয়া 
Bahasa Indonesia 
Español de Argentina 
Español de Colombia 
日本語 
Italiano 
Tiếng Việt 
Українська 
فارسی 
Français du Canada