Explotación de falla 0-Day SSL-VPN de FortiOS para atacar organizaciones gubernamentales

Ethical Hacking Consultores
4 min readJan 16, 2023

--

Ha habido una serie de ataques contra organizaciones gubernamentales y objetivos relacionados con el gobierno utilizando las vulnerabilidades de día cero SSL-VPN de FortiOS parcheadas por Fortinet el mes pasado que han sido explotadas por atacantes desconocidos.

Se aprovechó una falla de seguridad (CVE-2022–42475) en estos incidentes para permitir a los atacantes obtener la ejecución remota de código y bloquear los dispositivos objetivo de forma remota.

Esta vulnerabilidad se puede atribuir a un desbordamiento de búfer basado en montón que se encuentra en la aplicación FortiOS SSLVPNd.

La empresa de seguridad de redes corrigió discretamente el error el 28 de noviembre al lanzar una nueva versión (7.2.3) del software que abordó la vulnerabilidad.

Mientras que a mediados de diciembre, la empresa instó a sus clientes a descargar e instalar este parche para protegerse contra los continuos ataques que explotaban la vulnerabilidad sin hacer ruido.

La empresa de seguridad de red informó por primera vez a sus clientes sobre la vulnerabilidad a través de un aviso TLP: Amber el 7 de diciembre, una notificación confidencial destinada a distribución restringida.

Más tarde pusieron a disposición del público información adicional sobre la vulnerabilidad el 12 de diciembre, junto con una alerta de que la vulnerabilidad estaba siendo explotada activamente y atacada por atacantes en ataques en curso.

Productos afectados por la vulnerabilidad

A continuación, mencionamos la lista completa de productos afectados:-

  • FortiOS versión 7.2.0 a 7.2.2
  • FortiOS versión 7.0.0 a 7.0.8
  • FortiOS versión 6.4.0 a 6.4.10
  • FortiOS versión 6.2.0 a 6.2.11
  • FortiOS versión 6.0.0 a 6.0.15
  • FortiOS versión 5.6.0 a 5.6.14
  • FortiOS versión 5.4.0 a 5.4.13
  • FortiOS versión 5.2.0 a 5.2.15
  • FortiOS versión 5.0.0 a 5.0.14
  • FortiOS-6K7K versión 7.0.0 a 7.0.7
  • FortiOS-6K7K versión 6.4.0 a 6.4.9
  • FortiOS-6K7K versión 6.2.0 a 6.2.11
  • FortiOS-6K7K versión 6.0.0 a 6.0.14
  • FortiProxy versión 7.2.0 a 7.2.1
  • FortiProxy versión 7.0.0 a 7.0.7
  • FortiProxy versión 2.0.0 a 2.0.11
  • FortiProxy versión 1.2.0 a 1.2.13
  • FortiProxy versión 1.1.0 a 1.1.6
  • FortiProxy versión 1.0.0 a 1.0.7

Abusó del día cero para apuntar a las redes del gobierno

Se encontró que los ataques del actor de amenazas fueron altamente dirigidos, y la investigación indicó que las redes prioritarias eran las del gobierno.

Tras el examen, la muestra de Windows vinculada al atacante mostró signos de haber sido construida en una computadora en la zona horaria UTC+8. Esta zona horaria abarca varios países, tales como: –

  • Australia
  • Porcelana
  • Rusia
  • Singapur
  • Otros países de Asia oriental

Están sugiriendo que el atacante puede estar ubicado en una de estas regiones. Sin embargo, es importante tener en cuenta que esta información no es una prueba definitiva de la ubicación del atacante.

Para lograr un acceso a largo plazo a la red, los actores malintencionados se centraron en gran medida en evitar la detección.

Aprovecharon la vulnerabilidad para instalar malware que modifica los procesos de registro de FortiOS para eliminar registros específicos o detener el registro por completo, a fin de ocultar sus actividades.

Hay los siguientes artefactos presentes en el sistema de archivos: –

  • /data/lib/libips.bak
  • /data/lib/libgif.so
  • /data/lib/libiptcp.so
  • /data/lib/libipudp.so
  • /data/lib/libjepg.so
  • /var/.sslvpnconfigbk
  • /data/etc/wxd.conf
  • /Flash

Según análisis adicionales del malware instalado en los dispositivos comprometidos, las cargas útiles maliciosas incluidas en el malware también interrumpieron la capacidad de detección de violaciones de seguridad del IPS de los dispositivos comprometidos, que monitorea constantemente el tráfico de la red para detectar amenazas y bloquearlas cada vez que ocurren violaciones de seguridad.

Soluciones

A continuación, mencionamos las soluciones disponibles:-

  • Actualice a FortiOS versión 7.2.3 o superior
  • Actualice a FortiOS versión 7.0.9 o superior
  • Actualice a FortiOS versión 6.4.11 o superior
  • Actualice a FortiOS versión 6.2.12 o superior
  • Actualice a FortiOS versión 6.0.16 o superior
  • Actualice a la próxima versión de FortiOS-6K7K 7.0.8 o superior
  • Actualice a FortiOS-6K7K versión 6.4.10 o superior
  • Actualice a FortiOS-6K7K versión 6.2.12 o superior
  • Actualice a FortiOS-6K7K versión 6.0.15 o superior
  • Actualice a FortiProxy versión 7.2.2 o superior
  • Actualice a FortiProxy versión 7.0.8 o superior
  • Actualice a la próxima versión de FortiProxy 2.0.12 o superior

Mientras que para la disponibilidad de soluciones alternativas, los usuarios deben deshabilitar SSL-VPN . Para proteger sus sistemas de los intentos de ataque, Fortinet aconseja a los clientes que se aseguren de que su instalación de FortiOS esté actualizada con el último parche y que se comuniquen con su equipo de soporte si descubren algún IOC relacionado con los ataques que ocurrieron en diciembre.

Fuente y redacción: gbhackers.com

--

--

Ethical Hacking Consultores

Firma consultora especializada en brindar servicios de Seguridad Informática y Seguridad de la Información.