Actualización de Ciberseguridad de Fortinet Falla; Vulnerabilidad de Día Cero Explotada por Actores Maliciosos

Hace una semana, la firma de Ciberseguridad Fortinet lanzó una actualización de seguridad para corregir una vulnerabilidad de seguridad de alta gravedad CVE-2022-41328, que permite a los actores maliciosos ejecutar comandos o código no autorizados.

Bueno, para poner esto en perspectiva, algunos actores maliciosos anónimos utilizaron una vulnerabilidad de día cero para explotar un error en el FortiOS que permitió a los atacantes dirigirse a gobiernos y grandes organizaciones, lo que finalmente llevó a la corrupción del sistema operativo, archivos y pérdida de datos.

FortiOS, como su nombre indica, es el sistema operativo de Fortinet, que las empresas utilizan como un sistema operativo de seguridad de red. Proporciona protección avanzada contra amenazas con acceso de seguridad unificado, seguridad de red y más.

El aviso de falla no mencionó el error que los atacantes maliciosos explotaron antes de ser corregido. Aunque un informe publicado por la firma de seguridad reveló CVE-2022-41328, la falla se utilizó para desmantelar múltiples dispositivos de firewall Fortinet FortiGate de uno de sus clientes.

“Una limitación inadecuada de un nombre de ruta a un directorio restringido (traversal de ruta) [cve-22] en FortiOS puede permitir a un atacante privilegiado leer y escribir archivos arbitrarios a través de comandos CLI elaborados,” menciona la firma en su aviso.

Estas son las versiones comprometidas de FortiOS 6.4.0 a 6.4.11 y FortiOS 7.0.0 a 7.0.9, versión 7.2.0 a 7.2.3, y todas las demás versiones de FortiOS 6.0 a 6.2.

Leer: La función de autocompletar del administrador de contraseñas Bitwarden vulnerable al robo de credenciales basado en iframe

Para corregir la explotación, los administradores tuvieron que actualizar la versión vulnerable de FortiOS 6.4.12 a la versión FortinetOS 7.0.10 y luego a la versión FortiOS 7.2.4 y superior.

La firma de seguridad lo descubrió después de que el dispositivo comprometido de Fortinet se apagó con el sistema entrando en modo de error debido al mensaje de error FIPS: Falló la autoevaluación de integridad del fuego y no pudo reiniciarse.

La firma menciona que esto ocurrió ya que el dispositivo habilitado para FIPS confirma la integridad del componente del sistema y está diseñado para apagarse y detener el arranque de una brecha de red bloqueada si se identifica una explotación.

Los firewalls fueron explotados a través del FortiManager en la red de los objetivos, señalando que todos ellos se detuvieron simultáneamente, lo que significa que fueron hackeados con las mismas tácticas y la explotación de traversal de ruta de FortiGate se lanzó al mismo tiempo que los scripts se ejecutaron a través de FortiManager.

Bueno, la siguiente investigación mostró que los atacantes alteraron la imagen del firmware del dispositivo (/sbin/init) para lanzar una carga útil (/bin/fgfm) antes de que comenzara el proceso de arranque.

El malware permitió la exfiltración de datos, abriendo shells remotos al recibir un paquete ICPM que contenía la cadena “;7(Zu9YTsA7qQ#vm” o descargando y escribiendo archivos.

La firma de ciberseguridad menciona que los ataques fueron altamente dirigidos con la prueba de que los actores maliciosos favorecieron las redes gubernamentales. Los actores maliciosos mostraron capacidades avanzadas, incluyendo la ingeniería inversa del sistema operativo del dispositivo de Fortinet.

Los ataques fueron altamente dirigidos, con alguna prueba de que favorecieron a los objetivos gubernamentales y relacionados con el gobierno, menciona Fortinet.

Las explotaciones requieren un entendimiento profundo de FortiOS y su hardware. La investigación muestra que los atacantes tenían capacidades avanzadas de ingeniería inversa de muchas partes del sistema operativo de la firma de seguridad. Se aconseja a los clientes de Fortinet que actualicen a una versión corregida para bloquear posibles intentos de ataque.

Leer: Fuga de BidenCash: Más de 2 millones de tarjetas de crédito/débito con información personal expuesta