Według analityków bezpieczeństwa Mandiant, chińscy szpiedzy wykorzystali krytyczny błąd w Fortinet i niestandardowe złośliwe oprogramowanie sieciowe, aby wykradać dane uwierzytelniające i utrzymać dostęp do sieci wielu firm i organizacji.
W tym miesiącu firma Fortinet naprawiła lukę pozwalającą na atak Path Traversal w FortiOS, oznaczoną jako CVE-2022-41328. Kilka dni później firma opublikowała bardziej szczegółową analizę, która wskazywała, że hakerzy wykorzystywali tę lukę, aby atakować duże organizacje, kraść ich dane i uszkadzać pliki systemowe. W swoim szczegółowym raporcie Mandiant oskarżył chińskich hakerów o wykorzystanie luki w FortiOS oraz wielu niestandardowych wersji szkodliwego oprogramowania. Ta sama grupa UNC3886, została również zidentyfikowana przez Google, jako odpowiedzialna za ataki na hiperwizory VMware ESXi w zeszłym roku. Badacze bezpieczeństwa podejrzewają, że grupa ta kradnie poufne dane i informacje uwierzytelniające w celu osiągnięcia celów Pekinu.
Wydana przez Fortinet poprawka bezpieczeństwa naprawia błąd, który był mocno eksploatowany przez chińskich hakerów.
Eksperci ds. bezpieczeństwa Mandiant zauważyli, że grupa UNC3886podczas włamań do hiperwizora VMware ESXi, nawiązywała bezpośrednie połączenia z urządzeniami FortiGate i FortiManager za pośrednictwem niestandardowego backdoora o nazwie VIRTUALPITA. Badacze podejrzewają, że urządzenia FortiGate i FortiManager zostały przejęte w wyniku połączeń z VIRTUALPITA z adresów IP zarządzania Fortinet. Ponadto, ustalili, że atakujący uszkodzili narzędzia bezpieczeństwa w systemach docelowych, co doprowadziło do odkrycia kolejnej nowej rodziny złośliwego oprogramowania, którą nazwano CASTLETAP - backdoor blokujący porty ICMP.
Chińscy przestępcy wykorzystali dwie różne ścieżki ataków do zhakowania urządzeń Fortinet podłączonych do internetu. Pierwszy atak miał miejsce, gdy cyberprzestępca uzyskał dostęp do ekosystemu Fortinet poprzez wystawienie na działanie internetu urządzenia FortiManager. Hakerzy wykorzystali backdoor CASTLETAP oraz inne nowe złośliwe oprogramowanie THINCRUST, oparte na języku Python, aby uzyskać trwały dostęp do urządzeń FortiManager i FortiAnalyzer. Następnie wykorzystali skrypty FortiManager do wdrożenia backdoora CASTLETAP na wielu zaporach sieciowych FortiGate, wykorzystując lukę CVE-2022-41328.
Chińscy szpiedzy wykorzystali lukę w zabezpieczeniach path traversal, używając polecenia „execute wireless-controller hs20-icon upload-icon”. To polecenie zwykle służy do przesyłania plików ikon z serwera do zapory sieciowej FortiGate, gdzie mogą być używane w portalach rejestracji online HotSpot 2.0. Niestety, jak wyjaśnili badacze z Mandiant, komenda ta genrowała dwa poważne problemy. "Komenda nie sprawdzała poprawności typu przesyłanego pliku i była podatna na exploit związany z przeglądaniem katalogów, który umożliwił atakującemu z uprawnieniami superadministratora przesłanie pliku mniejszego niż 65 535 bajtów do dowolnej lokalizacji w systemie plików. Oznacza to, że poza ograniczeniami rozmiaru wynikającymi z polecenia, atakujący może zastąpić dowolny legalny plik systemowy w zaporze FortiGate."
Dodatkowo, w ramach tego ataku z wykorzystaniem wystawionego w sieci FortiManagera, Mandiant wykrył połączenia SSH między urządzeniami Fortinet a serwerami ESXI, co umożliwiło złoczyńcom wdrożenie złośliwego oprogramowania VIRTUALPITA w systemach VMware. W ten sposób uzyskali stały dostęp do hiperwizorów i mogli wykonywać polecenia na maszynach wirtualnych. Drugie wykorzystane podejście polegało na ataku urządzeń FortiManager, które nie były narażone na działanie internetu. W takich przypadkach wykorzystywali listy kontroli dostępu do sieci (ACL) w celu ograniczenia dostępu z zewnątrz tylko do portu TCP 541. Jednak, by obejść ACL, przestępcy skorzystali z przekierowania ruchu (TABLEFLIP) oraz backdoora z odwrotną powłoką (REPTILE) na urządzeniu FortiManager. W ten sposób uzyskali dostęp do backdoora bezpośrednio z internetu, co pozwoliło im na uzyskanie głównego dostępu do środowiska.
Pokaż / Dodaj komentarze do: Chińscy cyberszpiedzy wykorzystywali krytyczny błąd urządzeń Fortinet