Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
Gepatchte Fortinet-Schwachstelle wird immer noch von chinesischen Hackern ausgenutzt
Februar 2, 2023 - TuxCare PR Team
Chinesische Hacker haben eine kürzlich entdeckte Schwachstelle in der FortiOS-Software von Fortinet als Zero-Day-Schwachstelle genutzt, um Malware zu verbreiten.
CVE-2022-42475 (CVSS-Score von 9.8) ist eine Pufferüberlaufschwachstelle, die von entfernten, nicht authentifizierten Angreifern ausgenutzt werden kann, um Code oder Befehle über manipulierte Anfragen auszuführen. FortiOS SSL-VPN-Versionen 7.2.0 - 7.2.2, 7.0.0 - 7.0.8, 6.4.0 - 6.4.10, 6.2.0 - 6.2.11 und 6.0.15 und früher sowie FortiProxy SSL-VPN-Versionen 7.2.0 - 7.2.1 und 7.0.7 und früher sind von dem Fehler betroffen.
Die neue Malware wurde von Mandiant als "BOLDMOVE" identifiziert. Wie das Unternehmen weiter mitteilte, wurden eine Windows-Variante von BOLDMOVE sowie eine Linux-Variante entdeckt, die speziell für FortiGate Firewalls konzipiert ist. Die Hacker, von denen man annimmt, dass sie von staatlicher Seite unterstützt werden, nutzen die Schwachstelle aus, um Malware zu verbreiten und sich Zugang zu sensiblen Daten zu verschaffen.
BOLDMOVE soll eine Systemuntersuchung durchführen und ist in der Lage, Befehle von einem Command-and-Control-Server (C2) zu empfangen, so dass Angreifer Dateioperationen durchführen, eine Remote-Shell starten und Datenverkehr über den infizierten Host weiterleiten können.
"Wir glauben, dass dies die jüngste in einer Reihe von chinesischen Cyberspionageoperationen ist, die auf internetfähige Geräte abzielen, und wir gehen davon aus, dass diese Taktik weiterhin das bevorzugte Angriffsmittel für gut ausgerüstete chinesische Gruppen sein wird", so Mandiant auf seiner Website.
"Mit BOLDMOVE haben die Angreifer nicht nur einen Exploit entwickelt, sondern auch Malware, die ein tiefgreifendes Verständnis von Systemen, Diensten, Protokollierung und undokumentierten proprietären Formaten zeigt", so das Threat Intelligence-Unternehmen.
Mandiant hat nach eigenen Angaben nicht direkt beobachtet, wie die Schwachstelle ausgenutzt wird. Allerdings weisen Proben der Linux-Variante von BOLDMOVE eine fest kodierte C2-IP-Adresse auf, die von Fortinet als an der Ausnutzung beteiligt identifiziert wurde, was darauf schließen lässt, dass CVE-2022-49475 zur Bereitstellung von BOLDMOVE ausgenutzt wurde. Mandiant hat neben der Linux-Version auch eine Windows-Version aufgedeckt. BOLDMOVE für Windows scheint bereits 2021 kompiliert worden zu sein. Mandiant hat diese Malware jedoch noch nicht in Aktion gesehen, so dass nicht bekannt ist, wie sie eingesetzt wurde. Dieser Beitrag enthält eine eingehende Analyse der Malware.
Die in C geschriebene Malware soll es sowohl für Windows als auch für Linux geben, wobei letztere in der Lage ist, Daten aus einem Fortinet-exklusiven Dateiformat zu lesen. Die Windows-Varianten der Backdoor wurden laut Metadatenanalyse bereits im Jahr 2021 kompiliert, obwohl noch keine Proben in freier Wildbahn gefunden wurden.
Zu den Quellen für diesen Beitrag gehört ein Artikel in BleepingComputer.
