• Пт. Фев 3rd, 2023

Уязвимость в FortiOS SSL-VPN использовалась для выпуска вредоносного ПО Boldmove

Уязвимость в FortiOS SSL-VPN использовалась для выпуска вредоносного ПО Boldmove

Прошлой осенью китайские хакеры использовали уязвимость в FortiOS SSL-VPN в качестве атаки нулевого дня на европейские правительственные учреждения и неназванного поставщика управляемых услуг (MSP) в Африке. Уязвимость использовалась для доставки пользовательского вредоносного ПО Boldmove для Linux и Windows.

Специалисты Мандиант сказалЗлоумышленники воспользовались уязвимостью CVE-2022-42475, которая представляет собой ошибку переполнения буфера кучи в FortiOS sslvpnd и позволяет удаленно выполнять код на уязвимых устройствах без аутентификации.

Инженеры Fortinet исправили ошибку 28 ноября 2022 года, незаметно выпустив Fortios 7.2.3, но тогда не публиковали никакой информации о том, что уязвимость 0-day и уже эксплуатируется хакерами. Только в декабре Fortinet наконец выпустила бюллетень по безопасности. ФГ-ИР-22-398В котором она публично предупредила клиентов, что уязвимость активно эксплуатируется в атаках, и всем следует как можно скорее установить обновления, чтобы исправить ошибку.

Сейчас аналитики Mandiant сообщают, что уязвимость использовалась в атаках с октября 2022 года. Злоумышленники стремились закрепиться на уязвимых устройствах с помощью специального вредоносного ПО для Fortios, которое, в том числе, мешало процессам логирования, удаляя определенные записи или полностью отключая вход в Fortios.

В своем отчете исследователи очень подробно описывают вредоносное ПО, получившее название Boldmove. Зловред представляет собой полнофункциональный бэкдор, написанный на языке C, который позволяет получить контроль над устройством, а Linux-версия вредоносного ПО специально разработана для работы на устройствах Fortios.

Команды, поддерживаемые Boldmove, позволяют удаленно управлять файлами, выполнять команды, создавать интерактивные оболочки и управлять бэкдором. Версии для Windows и Linux в основном одинаковы, но используют разные библиотеки, и Mandiant считает, что версия для Windows была скомпилирована в 2021 году, почти за год до версии для Linux.

Эксперты обнаружили несколько версий Boldmove с разными возможностями, но все образцы объединяет единый набор базовых функций:

  • осуществление системы видеонаблюдения;
  • получение команд от управляющего сервера;
  • Создание удаленной оболочки на хосте;
  • Ретрансляция трафика через взломанное устройство.

Наиболее существенная разница между версиями для Linux и Windows заключается в том, что версия для Linux имеет функции, специально предназначенные для устройств Fortios. Например, как упоминалось выше, эта версия позволяет изменять журналы Fortinet на скомпрометированной системе или полностью отключать демоны ведения журналов (mylogged и syslogged), что затрудняет отслеживание атаки.

Кроме того, эта версия Boldmove умеет отправлять запросы к внутренним службам Fortinet, что позволяет злоумышленникам отправлять сетевые запросы по внутренней сети и распространять заражение на другие устройства.

По словам исследователей, китайские хакеры будут продолжать атаковать уязвимые устройства с выходом в Интернет, такие как брандмауэры и устройства IPS/ISD, поскольку они обеспечивают легкий доступ к сети. Mandiant отмечает, что встроенные механизмы безопасности на таких устройствах работают не очень хорошо.

«Нет ни механизма обнаружения вредоносных процессов, запущенных на таких устройствах, ни телеметрии для проактивного поиска развернутого на них вредоносного ПО после эксплуатации уязвимостей. Это делает сетевые устройства слепой зоной для специалистов по информационной безопасности и позволяет злоумышленникам долгое время молча скрываться на них. время, а также использовать такие устройства для закрепления в целевой сети», — резюмировали эксперты.

Source

ЧИТАТЬ   Посольство: Япония и дальше будет требовать от России консультаций по рыболовству на Курилах