Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
Un fallo parcheado de Fortinet sigue siendo explotado por piratas informáticos chinos
2 de febrero de 2023 - Equipo de RRPP de TuxCare
Se descubrió que piratas informáticos chinos utilizaban un fallo recientemente descubierto en el software FortiOS de Fortinet como vulnerabilidad de día cero para distribuir malware.
CVE-2022-42475 (puntuación CVSS de 9,8) es una vulnerabilidad de desbordamiento de búfer que podría ser explotada por atacantes remotos no autenticados para ejecutar código o comandos a través de peticiones crafteadas. Las versiones de FortiOS SSL-VPN 7.2.0 - 7.2.2, 7.0.0 - 7.0.8, 6.4.0 - 6.4.10, 6.2.0 - 6.2.11, y 6.0.15 y anteriores, así como las versiones de FortiProxy SSL-VPN 7.2.0 - 7.2.1, y 7.0.7 y anteriores, están afectadas por el fallo.
Mandiant ha identificado el nuevo malware como "BOLDMOVE". Mandiant ha descubierto una variante de BOLDMOVE para Windows y otra para Linux diseñada específicamente para ejecutarse en cortafuegos FortiGate. Los hackers, que se cree que están patrocinados por el Estado, están explotando la vulnerabilidad para distribuir malware y obtener acceso a datos confidenciales.
BOLDMOVE pretende realizar un sondeo del sistema y es capaz de recibir comandos de un servidor de comando y control (C2), lo que permite a los atacantes realizar operaciones con archivos, lanzar un shell remoto y retransmitir tráfico a través del host infectado.
"Creemos que esta es la última de una serie de operaciones de ciberespionaje chinas que han tenido como objetivo dispositivos orientados a Internet y prevemos que esta táctica seguirá siendo el vector de intrusión elegido por grupos chinos con buenos recursos", afirma Mandiant en su página web.
"Con BOLDMOVE, los atacantes no sólo desarrollaron un exploit, sino un malware que muestra un profundo conocimiento de los sistemas, servicios, registros y formatos propietarios no documentados", dijo la firma de inteligencia de amenazas.
Mandiant declaró que no ha observado directamente que se explote la vulnerabilidad; sin embargo, las muestras de la variante de Linux de BOLDMOVE tienen una dirección IP C2 codificada que Fortinet identificó como implicada en la explotación, lo que implica que CVE-2022-49475 se explotó para distribuir BOLDMOVE. Mandiant también reveló una versión para Windows además de la versión para Linux. BOLDMOVE para Windows parece haber sido compilado ya en 2021. Sin embargo, Mandiant no ha visto este malware en acción, por lo que se desconoce cómo se utilizó. Este post incluye un análisis en profundidad del malware.
Se dice que el malware, escrito en C, está disponible tanto para Windows como para Linux, y que este último es capaz de leer datos de un formato de archivo exclusivo de Fortinet. Las variantes de Windows del backdoor se compilaron en 2021, según el análisis de metadatos, aunque no se han encontrado muestras en la naturaleza.
Las fuentes de este artículo incluyen un artículo en BleepingComputer.
