Eine Zero-Day-Schwachstelle in FortiOS SSL-VPN, die Fortinet letzten Monat behoben hat, wurde von unbekannten Akteuren bei Angriffen auf die Regierung und andere große Organisationen ausgenutzt.
„Die Komplexität des Exploits lässt auf einen fortgeschrittenen Akteur schließen und darauf, dass er auf staatliche oder regierungsnahe Ziele abzielt“, so Fortinet-Forscher in einer diese Woche veröffentlichten Post-Mortem-Analyse.
Bei den Angriffen wurde die Sicherheitslücke CVE-2022-42475 ausgenutzt, ein Heap-basierter Pufferüberlauf, der es einem nicht authentifizierten Angreifer ermöglichen könnte, über speziell gestaltete Anfragen beliebigen Code auszuführen.
Die vom Unternehmen analysierte Infektionskette zeigt, dass das Ziel darin bestand, ein generisches, für FortiOS modifiziertes Linux-Implantat einzuschleusen, das in der Lage ist, dieIPS-Software (Intrusion Prevention System) von Fortinet zu kompromittieren und Verbindungen zu einem entfernten Server herzustellen, um zusätzliche Malware herunterzuladen und Befehle auszuführen.
Fortinet sagte, dass es nicht in der Lage war, die Nutzdaten, die in den nachfolgenden Phasen der Angriffe verwendet wurden, wiederherzustellen. Es wurde nicht bekannt gegeben, wann die Angriffe stattfanden.
Der Modus Operandi offenbart außerdem den Einsatz von Verschleierung, um Analysen zu vereiteln, sowie „fortgeschrittene Fähigkeiten“, um die FortiOS-Protokollierung zu manipulieren und Protokollierungsprozesse zu beenden, um unentdeckt zu bleiben.
„Er sucht nach elog-Dateien, also Protokollen von Ereignissen in FortiOS“, so die Forscher. „Nachdem er sie im Speicher dekomprimiert hat, sucht er nach einer Zeichenfolge, die der Angreifer angibt, löscht sie und rekonstruiert die Protokolle.
Das Netzwerksicherheitsunternehmen stellte außerdem fest, dass der Exploit ein „tiefes Verständnis von FortiOS und der zugrundeliegenden Hardware“ erfordert und dass der Angreifer über Fähigkeiten verfügt, verschiedene Teile von FortiOS zurückzuentwickeln.
„Das entdeckte Windows-Sample, das dem Angreifer zugeschrieben wird, zeigt Artefakte, die darauf hindeuten, dass es auf einem Rechner in der Zeitzone UTC+8 kompiliert wurde, zu der Australien, China, Russland, Singapur und andere ostasiatische Länder gehören“, heißt es weiter.