Atualização de Segurança Cibernética da Fortinet Falha; Zero-Day Explorada por Atores de Ameaça

Há uma semana, a empresa de Segurança Cibernética Fortinet lançou uma atualização de segurança para corrigir uma vulnerabilidade de segurança de alta gravidade CVE-2022-41328, permitindo que atores de ameaça executassem comandos ou códigos não autorizados.

Bem, para colocar isso em perspectiva, alguns atores de ameaça anônimos utilizaram uma vulnerabilidade zero-day para explorar um bug no FortiOS que permitiu que os atacantes visassem governos e grandes organizações, levando, em última análise, à corrupção do sistema operacional, arquivos e perda de dados.

FortiOS, como o nome sugere, é o sistema operacional da Fortinet, utilizado por empresas como um sistema operacional de segurança de rede. Ele fornece proteção avançada contra ameaças com acesso de segurança unificado, segurança de rede e mais.

O aviso sobre a falha não mencionou o bug que os atacantes de ameaça exploraram antes de ser corrigido. Embora um relatório publicado pela empresa de segurança tenha revelado a CVE-2022-41328, a falha foi usada para comprometer e desmontar múltiplos dispositivos de firewall Fortinet FortiGate de um de seus clientes.

“Uma limitação inadequada de um caminho para um diretório restrito (traversal de caminho) [cve-22] no FortiOS pode permitir que um atacante privilegiado leia e escreva arquivos arbitrários através de comandos CLI elaborados”, menciona a empresa em seu aviso.

Estas são as versões comprometidas do FortiOS 6.4.0 a 6.4.11 e FortiOS 7.0.0 a 7.0.9, versão 7.2.0 a 7.2.3, e todas as outras versões do FortiOS 6.0 a 6.2.

Leia: A funcionalidade de preenchimento automático do Gerenciador de Senhas Bitwarden vulnerável a roubo de credenciais baseado em iframe

Para corrigir a exploração, os administradores tiveram que atualizar a versão vulnerável do FortiOS 6.4.12 para a versão FortinetOS 7.0.10 e, posteriormente, para a versão FortiOS 7.2.4 e acima.

A empresa de segurança descobriu isso após o dispositivo comprometido da Fortinet desligar, com o sistema entrando em modo de erro devido à mensagem de erro FIPS: Falha no auto-teste de integridade do sistema e falha ao reiniciar.

A empresa menciona que isso aconteceu à medida que o dispositivo habilitado para FIPS confirma a integridade dos componentes do sistema e é projetado para desligar e parar de inicializar um bloqueio de violação de rede se uma exploração for identificada.

Os firewalls foram explorados via FortiManager na rede dos alvos, observando que todos eles foram parados simultaneamente, o que significa que foram hackeados com as mesmas táticas e a exploração de traversal de caminho do FortiGate foi lançada ao mesmo tempo que scripts executados via FortiManager.

Bem, a investigação seguinte mostrou que os atacantes alteraram a imagem do firmware do dispositivo (/sbin/init) para lançar um payload (/bin/fgfm) antes que o processo de inicialização começasse.

O malware permitiu a exfiltração de dados, abrindo shells remotos ao receber um pacote ICPM que continha a string “;7(Zu9YTsA7qQ#vm” ou baixando e escrevendo arquivos.

A empresa de segurança cibernética menciona que os ataques foram altamente direcionados, com a prova de que os atores de ameaça favoreceram redes governamentais. Os atores de ameaça mostraram capacidades avançadas, incluindo engenharia reversa do sistema operacional do dispositivo da Fortinet.

Os ataques foram altamente direcionados, com algumas provas disso favorecendo alvos governamentais e relacionados ao governo, menciona a Fortinet.

As explorações requerem um entendimento profundo do FortiOS e seu hardware. A investigação mostra que os atacantes tinham capacidades avançadas de engenharia reversa das muitas partes do sistema operacional da empresa de segurança. Os clientes da Fortinet são aconselhados a atualizar para uma versão corrigida para bloquear possíveis tentativas de ataque.

Leia: Vazamento do BidenCash: 2M+ Cartões de Crédito/Débito com Informações Pessoais Expostas