Blog

Aumentan las sospechas de un Grupo APT Chino que estaría explotando una vulnerabilidad ZERO-DAY de Fortinet SSL-VPN

Un presunto actor de amenazas con diferentes nexos con la República Popular de China ha estado, supuestamente, explotando una vulnerabilidad recientemente parcheada en Fortinet, FortiOS SSL-VPN, vulnerabilidad categorizada como un ZERO-DAY, en diferentes ataques dirigidos a entidades gubernamentales de europea y un proveedor de servicios administrados (MSP) ubicado en África.

La evidencia de telemetría recopilada por Mandiant, propiedad de Google, indica que la explotación ocurrió ya en octubre de 2022, al menos casi dos meses antes de que se lanzaran los parches correspondientes.

«Este incidente continúa el patrón de China de explotar dispositivos orientados a Internet, específicamente aquellos utilizados con fines de seguridad administrada (por ejemplo, firewalls, dispositivos IPS/IDS, etc.)«, dijeron los investigadores de Mandiant en un informe técnico.

Los ataques implicaron el uso de una sofisticada puerta trasera llamada «BOLDMOVE», una variante de Linux que está diseñada, específicamente, para ejecutarse en los firewalls FortiGate de Fortinet.

El vector de intrusión en cuestión se relaciona con la vulnerabilidad rastreada como CVE-2022-42475, una falla de seguridad que permitirá al atacante realizar un desbordamiento de búfer basada en montón en FortiOS SSL-VPN que podría resultar en la ejecución remota de código no autenticado a través de solicitudes específicamente diseñadas.

A principios de este mes, Fortinet reveló que grupos APTs desconocidos han estado explotando y revelando la deficiencia para atacar a los gobiernos y otras grandes organizaciones con un implante genérico de Linux capaz de entregar Payloads adicionales y ejecutar comandos enviados por un servidor remoto.

Los últimos hallazgos de Mandiant indican que el actor de amenazas logró abusar de la vulnerabilidad ZERO-DAY para su propio beneficio y violar las redes de diferentes entidades para operaciones de espionaje.

«Con BOLDMOVE, los atacantes no solo desarrollaron un exploit, sino malware que muestra una comprensión profunda de los sistemas, servicios, registros y formatos propietarios no documentados«, dijo Mandiant.

Se dice que el malware, escrito en C, tiene una carga para Windows y Linux, y este último es capaz de leer datos de un formato de archivo que es propiedad de Fortinet. El análisis de metadatos de las variantes de Windows de la puerta trasera muestra que se compilaron ya en 2021, aunque no se han detectado muestras de esas fechas.

BOLDMOVE está diseñado para llevar a cabo un sondeo del sistema y es capaz de recibir instrucciones de un servidor de comando y control (C2) que a su vez permite a los atacantes realizar operaciones de archivos, generar una shell remota y retransmitir tráfico a través del host ya infectado.

Una muestra extendida de Linux del malware viene con características adicionales para deshabilitar y manipular las funciones de registro en un intento de evitar la detección, corroborando el informe de Fortinet.

«La explotación de vulnerabilidades de día cero en dispositivos de red, seguida de la instalación de implantes personalizados, es consistente con la explotación típica de china, previa de dispositivos de red y seguridad perimetral«, señaló Mandiant.

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alerta Temprana de Riesgos Cibernéticos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

Hablemos

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Email

contacto@cronup.com

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad

CronUp Newsletter

Suscríbete a nuestro resumen semanal de noticias y alertas de seguridad para mantenerte actualizado sobre el panorama de amenazas en la región y el mundo.

* indicates required