Aggiornamento sulla Sicurezza Informatica di Fortinet Fallito; Zero-Day Sfruttato da Attori Malintenzionati

Una settimana fa, l’azienda di sicurezza informatica Fortinet ha rilasciato un aggiornamento di sicurezza per risolvere una vulnerabilità di sicurezza ad alta gravità CVE-2022-41328, che consente agli attori malintenzionati di eseguire comandi o codice non autorizzati.

Bene, per mettere questo in prospettiva, alcuni attori malintenzionati anonimi hanno utilizzato una vulnerabilità zero-day per sfruttare un bug in FortiOS che ha permesso agli attaccanti di prendere di mira governi e grandi organizzazioni, portando infine a OS, corruzione di file e perdita di dati.

FortiOS, come suggerisce il nome, è il sistema operativo di Fortinet, utilizzato dalle aziende come sistema operativo di sicurezza di rete. Fornisce protezione avanzata dalle minacce con accesso alla sicurezza unificata, sicurezza di rete e altro.

L’avviso sulla vulnerabilità non ha menzionato il bug che gli attori malintenzionati hanno sfruttato prima di essere corretto. Sebbene un rapporto pubblicato dall’azienda di sicurezza abbia rivelato CVE-2022-41328, il difetto è stato utilizzato per compromettere e smantellare più dispositivi firewall Fortinet FortiGate di uno dei suoi clienti.

“Una limitazione impropria di un percorso a una directory ristretta vulnerabilità (traversata del percorso) [cve-22] in FortiOS può consentire a un attaccante privilegiato di leggere e scrivere file arbitrari tramite comandi CLI creati”, menziona l’azienda nel suo avviso.

Queste sono le versioni compromesse di FortiOS 6.4.0 a 6.4.11 e FortiOS 7.0.0 a 7.0.9, versione 7.2.0 a 7.2.3, e tutte le altre versioni di FortiOS 6.0 a 6.2.

Leggi: La funzione di riempimento automatico del gestore di password Bitwarden vulnerabile al furto di credenziali basato su iframe

Per correggere lo sfruttamento, gli amministratori hanno dovuto aggiornare la versione vulnerabile di FortiOS 6.4.12 a FortinetOS versione 7.0.10 e successivamente a FortiOS versione 7.2.4 e superiori.

L’azienda di sicurezza ha scoperto il problema dopo che il dispositivo compromesso di Fortinet si è spento con il sistema che è entrato in modalità errore a causa del messaggio di errore FIPS: il test di integrità del fuoco è fallito e non è riuscito a riavviarsi.

L’azienda menziona che è successo poiché il dispositivo abilitato FIPS conferma l’integrità dei componenti di sistema ed è progettato per spegnersi e fermare l’avvio di una violazione di rete se viene identificato uno sfruttamento.

I firewall sono stati sfruttati tramite il FortiManager sulla rete dei bersagli, notando che tutti sono stati fermati simultaneamente, il che significa che sono stati hackerati con le stesse tattiche e lo sfruttamento della traversata del percorso FortiGate è stato lanciato contemporaneamente a script eseguiti tramite FortiManager.

Bene, l’indagine successiva ha mostrato che gli attaccanti hanno alterato l’immagine del firmware del dispositivo (/sbin/init) per lanciare un payload (/bin/fgfm) prima che il processo di avvio iniziasse.

Il malware ha consentito l’exfiltrazione dei dati, aprendo shell remote quando riceveva un pacchetto ICPM che conteneva la stringa “;7(Zu9YTsA7qQ#vm” o scaricando e scrivendo file.

L’azienda di sicurezza informatica menziona che gli attacchi erano altamente mirati con la prova che gli attori malintenzionati favorivano le reti governative. Gli attori malintenzionati hanno mostrato capacità avanzate, inclusa la reverse engineering del sistema operativo del dispositivo di Fortinet.

Gli attacchi erano altamente mirati, con alcune prove che favorivano i governi e gli obiettivi correlati al governo, menziona Fortinet.

Gli sfruttamenti richiedono una comprensione approfondita di FortiOS e del suo hardware. L’indagine mostra che gli attaccanti avevano capacità avanzate di reverse engineering delle molte parti del sistema operativo dell’azienda di sicurezza. Si consiglia ai clienti di Fortinet di aggiornare a una versione corretta per bloccare possibili tentativi di attacco.

Leggi: BidenCash Leak: oltre 2 milioni di carte di credito/debito con informazioni personali esposte