Blog

Fortinet confirma que un Actor de Amenazas estaba explotando una vulnerabilidad ZERO-DAY de FortiOS SSL-VPN contra redes Gubernamentales

La compañía proveedora y desarrolladora de hardware y software de seguridad, Fortinet, ha lanzado una publicación, el día de ayer, en donde se informa a sus clientes que atacantes desconocidos habrían estado explotando una vulnerabilidad de día cero de FortiOS SSL-VPN, parcheada el mes pasado, en ataques contra organizaciones gubernamentales y objetivos relacionados con gobiernos.

Contexto, la falla de seguridad rastreada como CVE-2022-42475, de la que se abusa en estos incidentes, es una vulnerabilidad de desbordamiento de búfer que se encuentra en FortiOS SSL-VPN, que permitió a los atacantes no autenticados, bloquear dispositivos específicos de forma remota y permitir la ejecución remota de código.

La compañía ha instado a los clientes a mediados de diciembre a parchear sus dispositivos contra los ataques en curso que explotan esta vulnerabilidad después de corregir, de manera silenciosa, el error del 28 de noviembre en FortiOS 7.2.3 (y sin divulgar información de que era una vulnerabilidad crítica de día cero).

Además, agrega que los clientes fueron alertados de este problema el día 7 de diciembre a través de un aviso TLP: Amber. Luego más información fue publicada, de manera general, el 12 de diciembre, incluida una advertencia de que la falla se seguridad que estaba siendo explotado activamente por diferentes actores de amenazas.

«Fortinet es consciente de una instancia en la que esta vulnerabilidad fue explotada en la naturaleza«, dijo la compañía en ese momento, recomendando a los administradores que verifiquen inmediatamente sus sistemas contra una lista de indicadores de compromiso compartidos en este aviso.

Y el día de ayer, Fortinet publicó un informe de seguimiento que revela que los atacantes estaban utilizando exploits de CVE-2022-42475 para comprometer los dispositivos FortiOS SSL-VPN para implementar malware como una versión troyanizada del motor IPS.

También, la compañía dijo que los ataques del actor de amenazas fueron altamente dirigidos, con evidencia encontrada durante el análisis que muestra un enfoque en las redes gubernamentales.

«La muestra de Windows descubierta atribuida al atacante mostró artefactos de haber sido compilados en una máquina en la zona horaria UTC+8, que incluye Australia, China, Rusia, Singapur y otros países de Asia oriental«.

Los atacantes se centraron en gran medida en mantener la persistencia y evadir la detección mediante el uso de la vulnerabilidad para instalar malware que parchee los procesos de registro de FortiOS, para que se puedan eliminar entradas de registro específicas, o incluso para matar los procesos de registro si es necesario.

La compañía concluyó que el actor de amenazas detrás de la explotación de CVE-2022-42475 del mes pasado, muestra «capacidades avanzadas«, incluida la capacidad de realizar ingeniería inversa de partes del sistema operativo FortiOS.

Y finalmente, aconsejó a los clientes que actualicen inmediatamente a una versión parcheada de FortiOS para bloquear los intentos de ataque y comunicarse con el soporte de Fortinet si encuentran indicadores de compromiso relacionados con los ataques de diciembre.

Indicadores de Compromiso

Nombre de los archivos:

Presencia de los siguientes artefactos en el sistema de archivos:

  • /data/lib/libips.bak
  • /data/lib/libgif.so
  • /data/lib/libiptcp.so
  • /data/lib/libipudp.so
  • /data/lib/libjepg.so
  • /var/.sslvpnconfigbk
  • /data/etc/wxd.conf
  • /flash

IPs y Dominios:

  • 188[.]34[.]130[.]40                 
  • 103[.]131[.]189[.]143               
  • 192[.]36[.]119[.]61                     
  • 172[.]247[.]168[.]153             
  • 139[.]180[.]184[.]197
  • 66[.]42[.]91[.]32
  • 158[.]247[.]221[.]101
  • 107[.]148[.]27[.]117
  • 139[.]180[.]128[.]142
  • 155[.]138[.]224[.]122
  • 185[.]174[.]136[.]20
  • 139[.]180[.]184[.]197
  • 66[.]42[.]91[.]32
  • 158[.]247[.]221[.]101
  • 107[.]148[.]27[.]117
  • 139[.]180[.]128[.]142
  • 155[.]138[.]224[.]122
  • 185[.]174[.]136[.]20
  • 45[.]86[.]229[.]220
  • 45[.]86[.]231[.]71
  • 139[.]99[.]35[.]116
  • 139[.]99[.]37[.]119
  • 194[.]62[.]42[.]105
  • 45[.]86[.]231[.]71
  • 45[.]86[.]229[.]220
  • 185[.]250[.]149[[.]32
  • 137[.]175[.]30[.]138
  • 146[.]70[.]157[.]133

IPs de actores de amenazas antiguos:

  • 156[.]251[.]162[.]76
  • 156[.]251[.]163[.122
  • 156[.]251[.]163[.]19
  • 156[.]251[.]162[.111

Archivos HASH MD5:

  • 68c3f72270800ea675889e82bb02fb8
  • e3f640d8785c0c864739529889b1863a
  • 08cbaafb176ce6118f7e4e0b2d2d77cf
  • bdc2d2f5d5246f8956711bcce9f456b6
  • 4548fa6625cb154ab320833186117393
  • e5d989b651b3eb351e10e408d5a062b3
  • 3191cb2e06e9a30792309813793f78b6
  • 12e28c14bb7f7b9513a02e5857592ad7
  • ae0839351721db5a9c269fd75dcb57ce
  • 856341349dd954d82b112ba9165c4563

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alerta Temprana de Riesgos Cibernéticos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

No dejes tu seguridad para después.

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad

CronUp Newsletter

Suscríbete a nuestro resumen semanal de noticias y alertas de seguridad para mantenerte actualizado sobre el panorama de amenazas en la región y el mundo.

* indicates required