Tersangka pelaku ancaman nexus China mengeksploitasi kerentanan yang baru-baru ini ditambal di Fortinet FortiOS SSL-VPN sebagai serangan zero-day yang menargetkan entitas pemerintah Eropa dan penyedia layanan terkelola (MSP) yang berlokasi di Afrika.
Bukti telemetri yang dikumpulkan oleh Mandiant milik Google menunjukkan bahwa eksploitasi terjadi pada awal Oktober 2022, setidaknya hampir dua bulan sebelum perbaikan dirilis. Pelaku ancaman nexus China yang dicurigai mengeksploitasi kerentanan yang baru-baru ini ditambal di Fortinet FortiOS SSL-VPN sebagai nol -hari dalam serangan
Kejadian ini berlanjut dalam pola China dalam mengeksploitasi perangkat yang menghadap internet yang secara khusus digunakan untuk tujuan keamanan terkelola (mis., firewall, peralatan IPS\IDS, dll.).
Serangan tersebut memerlukan penggunaan backdoor canggih yang dijuluki BOLDMOVE yang merupakan varian Linux yang dirancang khusus untuk berjalan di firewall FortiGate Fortinet.
Vektor intrusi yang dimaksud terkait dengan eksploitasi CVE-2022-42475 yang merupakan kerentanan buffer overflow berbasis heap di FortiOS SSL-VPN yang dapat mengakibatkan eksekusi kode jarak jauh yang tidak diautentikasi melalui permintaan yang dibuat secara khusus.
Fortinet mengungkapkan bahwa kelompok peretasan yang tidak diketahui telah memanfaatkan kekurangan tersebut untuk menargetkan pemerintah dan organisasi besar lainnya dengan implan Linux generik yang mampu mengirimkan muatan tambahan dan menjalankan perintah yang dikirim oleh server jarak jauh.
Temuan terbaru dari Mandiant menunjukkan bahwa pelaku ancaman berhasil menyalahgunakan kerentanan sebagai zero-day untuk keuntungannya dan menembus jaringan yang ditargetkan untuk operasi spionase.
Dengan BOLDMOVE yang merupakan penyerang tidak hanya mengembangkan eksploit dan malware yang menunjukkan pemahaman mendalam tentang sistem, layanan, dan kepemilikan tidak berdokumen.
Malware yang ditulis dalam C dikatakan memiliki windows dan Linux yang mampu membaca data dari format file milik Fortinet. Analisis metadata dari varian Windows dari pintu belakang menunjukkan bahwa mereka dikompilasi pada tahun 2021, meskipun tidak ada sampel yang terdeteksi di alam liar.
BOLDMOVE dirancang untuk melakukan survei sistem yang mampu menerima perintah dari server command-and control (C2) yang memungkinkan penyerang melakukan operasi file yang menelurkan shell jarak jauh, dan meneruskan lalu lintas melalui host yang terinfeksi.
Bahasa Indonesia 
English 
हिन्दी 
ગુજરાતી 
தமிழ் 
తెలుగు 
मराठी 
മലയാളം 
বাংলা 
Français de Belgique 
Deutsch (Schweiz) 
Deutsch (Sie) 
Deutsch 
English (Canada) 
English (New Zealand) 
English (UK) 
English (Australia) 
English (South Africa) 
Afrikaans 
اردو 
العربية 
Русский 
简体中文 
Azərbaycan dili 
অসমীয়া 
Magyar 
Español de Argentina 
Español de Colombia 
日本語 
Italiano 
Tiếng Việt 
Українська 
فارسی 
Français du Canada