Un presunto actor de amenazas de nexo con China explotó una vulnerabilidad recientemente parcheada en Fortinet FortiOS SSL-VPN como un día cero en ataques dirigidos a una entidad gubernamental europea y un proveedor de servicios administrados (MSP) ubicado en África.
La evidencia de telemetría recopilada por Mandiant, propiedad de Google, indica que la explotación ocurrió ya en octubre de 2022, al menos casi dos meses antes de que se lanzaran las correcciones.
“Este incidente continúa el patrón de China de explotar dispositivos orientados a Internet, específicamente aquellos utilizados con fines de seguridad administrada (por ejemplo, firewalls, dispositivos IPS \ IDS, etc.)”, dijeron los investigadores de Mandiant en un informe técnico.
Los ataques implicaron el uso de una sofisticada puerta trasera llamada BOLDMOVE, una variante de Linux que está diseñada específicamente para ejecutarse en los firewalls FortiGate de Fortinet.
El vector de intrusión en cuestión se relaciona con la explotación de CVE-2022-42475, una vulnerabilidad de desbordamiento de búfer basada en montón en FortiOS SSL-VPN que podría resultar en la ejecución remota de código no autenticado a través de solicitudes específicamente diseñadas.
A principios de este mes, Fortinet reveló que grupos de piratería desconocidos han capitalizado la deficiencia para atacar a los gobiernos y otras grandes organizaciones con un implante genérico de Linux capaz de entregar cargas útiles adicionales y ejecutar comandos enviados por un servidor remoto.
Los últimos hallazgos de Mandiant indican que el actor de amenazas logró abusar de la vulnerabilidad como un día cero para su ventaja y violar las redes dirigidas para operaciones de espionaje.
“Con BOLDMOVE, los atacantes no solo desarrollaron un exploit, sino malware que muestra una comprensión profunda de los sistemas, servicios, registros y formatos propietarios no documentados”, dijo la firma de inteligencia de amenazas.
Se dice que el malware, escrito en C, tiene sabores de Windows y Linux, y este último es capaz de leer datos de un formato de archivo que es propiedad de Fortinet. El análisis de metadatos de las variantes de Windows de la puerta trasera muestra que se compilaron ya en 2021, aunque no se han detectado muestras en la naturaleza.
BOLDMOVE está diseñado para llevar a cabo una encuesta del sistema y es capaz de recibir comandos de un servidor de comando y control (C2) que a su vez permite a los atacantes realizar operaciones de archivos, generar un shell remoto y retransmitir tráfico a través del host infectado.
Una muestra extendida de Linux del malware viene con características adicionales para deshabilitar y manipular las funciones de registro en un intento de evitar la detección, corroborando el informe de Fortinet.
“La explotación de vulnerabilidades de día cero en dispositivos de red, seguida de la instalación de implantes personalizados, es consistente con la explotación china previa de dispositivos de red”, señaló Mandiant.
