La compañía proveedora y desarrolladora de hardware y software de seguridad, Fortinet, ha lanzado una publicación, el día de ayer, en donde se informa a sus clientes que atacantes desconocidos habrían estado explotando una vulnerabilidad de día cero de FortiOS SSL-VPN, parcheada el mes pasado, en ataques contra organizaciones gubernamentales y objetivos relacionados con gobiernos.
Contexto, la falla de seguridad rastreada como CVE-2022-42475, de la que se abusa en estos incidentes, es una vulnerabilidad de desbordamiento de búfer que se encuentra en FortiOS SSL-VPN, que permitió a los atacantes no autenticados, bloquear dispositivos específicos de forma remota y permitir la ejecución remota de código.
La compañía ha instado a los clientes a mediados de diciembre a parchear sus dispositivos contra los ataques en curso que explotan esta vulnerabilidad después de corregir, de manera silenciosa, el error del 28 de noviembre en FortiOS 7.2.3 (y sin divulgar información de que era una vulnerabilidad crítica de día cero).
Además, agrega que los clientes fueron alertados de este problema el día 7 de diciembre a través de un aviso TLP: Amber. Luego más información fue publicada, de manera general, el 12 de diciembre, incluida una advertencia de que la falla se seguridad que estaba siendo explotado activamente por diferentes actores de amenazas.
«Fortinet es consciente de una instancia en la que esta vulnerabilidad fue explotada en la naturaleza«, dijo la compañía en ese momento, recomendando a los administradores que verifiquen inmediatamente sus sistemas contra una lista de indicadores de compromiso compartidos en este aviso.
Y el día de ayer, Fortinet publicó un informe de seguimiento que revela que los atacantes estaban utilizando exploits de CVE-2022-42475 para comprometer los dispositivos FortiOS SSL-VPN para implementar malware como una versión troyanizada del motor IPS.
También, la compañía dijo que los ataques del actor de amenazas fueron altamente dirigidos, con evidencia encontrada durante el análisis que muestra un enfoque en las redes gubernamentales.
«La muestra de Windows descubierta atribuida al atacante mostró artefactos de haber sido compilados en una máquina en la zona horaria UTC+8, que incluye Australia, China, Rusia, Singapur y otros países de Asia oriental«.
Los atacantes se centraron en gran medida en mantener la persistencia y evadir la detección mediante el uso de la vulnerabilidad para instalar malware que parchee los procesos de registro de FortiOS, para que se puedan eliminar entradas de registro específicas, o incluso para matar los procesos de registro si es necesario.
La compañía concluyó que el actor de amenazas detrás de la explotación de CVE-2022-42475 del mes pasado, muestra «capacidades avanzadas«, incluida la capacidad de realizar ingeniería inversa de partes del sistema operativo FortiOS.
Y finalmente, aconsejó a los clientes que actualicen inmediatamente a una versión parcheada de FortiOS para bloquear los intentos de ataque y comunicarse con el soporte de Fortinet si encuentran indicadores de compromiso relacionados con los ataques de diciembre.
Indicadores de Compromiso
Nombre de los archivos:
Presencia de los siguientes artefactos en el sistema de archivos:
- /data/lib/libips.bak
- /data/lib/libgif.so
- /data/lib/libiptcp.so
- /data/lib/libipudp.so
- /data/lib/libjepg.so
- /var/.sslvpnconfigbk
- /data/etc/wxd.conf
- /flash
IPs y Dominios:
- 188[.]34[.]130[.]40
- 103[.]131[.]189[.]143
- 192[.]36[.]119[.]61
- 172[.]247[.]168[.]153
- 139[.]180[.]184[.]197
- 66[.]42[.]91[.]32
- 158[.]247[.]221[.]101
- 107[.]148[.]27[.]117
- 139[.]180[.]128[.]142
- 155[.]138[.]224[.]122
- 185[.]174[.]136[.]20
- 139[.]180[.]184[.]197
- 66[.]42[.]91[.]32
- 158[.]247[.]221[.]101
- 107[.]148[.]27[.]117
- 139[.]180[.]128[.]142
- 155[.]138[.]224[.]122
- 185[.]174[.]136[.]20
- 45[.]86[.]229[.]220
- 45[.]86[.]231[.]71
- 139[.]99[.]35[.]116
- 139[.]99[.]37[.]119
- 194[.]62[.]42[.]105
- 45[.]86[.]231[.]71
- 45[.]86[.]229[.]220
- 185[.]250[.]149[[.]32
- 137[.]175[.]30[.]138
- 146[.]70[.]157[.]133
IPs de actores de amenazas antiguos:
- 156[.]251[.]162[.]76
- 156[.]251[.]163[.122
- 156[.]251[.]163[.]19
- 156[.]251[.]162[.111
Archivos HASH MD5:
- 68c3f72270800ea675889e82bb02fb8
- e3f640d8785c0c864739529889b1863a
- 08cbaafb176ce6118f7e4e0b2d2d77cf
- bdc2d2f5d5246f8956711bcce9f456b6
- 4548fa6625cb154ab320833186117393
- e5d989b651b3eb351e10e408d5a062b3
- 3191cb2e06e9a30792309813793f78b6
- 12e28c14bb7f7b9513a02e5857592ad7
- ae0839351721db5a9c269fd75dcb57ce
- 856341349dd954d82b112ba9165c4563
Alerta Temprana de Riesgos Cibernéticos (ATRc®)
Attack Surface Management
Cyber Threat Intelligence
