Hackerii care lucrează pentru guvernul chinez au obținut acces la peste 20.000 de dispozitive VPN vândute de Fortinet folosind o vulnerabilitate critică pe care compania nu a dezvăluit-o timp de două săptămâni după remedierea acesteia, au declarat oficialii guvernamentali olandezi.
Vulnerabilitatea, urmărită ca CVE-2022-42475, este un buffer overflow bazat pe heap, care permite hackerilor să execute de la distanță cod rău intenționat. Are un rating de severitate de 9,8 din 10. Un producător de software de securitate pentru rețea, Fortinet a remediat în tăcere vulnerabilitatea pe 28 noiembrie 2022, dar nu a menționat amenințarea până pe 12 decembrie a acelui an, când compania a spus a devenit conștient de o „instanță în care această vulnerabilitate a fost exploatată în sălbăticie”. La 11 ianuarie 2023, la mai mult de șase săptămâni după ce vulnerabilitatea a fost remediată, Fortinet avertizat un actor de amenințări o exploata pentru a infecta guvernele și organizațiile guvernamentale cu programe malware avansate personalizate.
Intră în CoatHanger
În primul rând, oficialii olandezi raportat în februarie, hackerii de stat chinezi au exploatat CVE-2022-42475 pentru a instala o ușă din spate avansată și ascunsă urmărită ca CoatHanger pe aparatele Fortigate din cadrul Ministerului olandez al Apărării. Odată instalat, malware-ul nemaivăzut până acum, conceput special pentru sistemul de operare FortiOS subiacent, a putut să locuiască permanent pe dispozitive chiar și atunci când a fost repornit sau a primit o actualizare de firmware. CoatHanger ar putea scăpa și de măsurile tradiționale de detectare, au avertizat oficialii. Prejudiciul rezultat în urma încălcării a fost însă limitat, deoarece infecțiile au fost conținute în interiorul unui segment rezervat utilizărilor neclasificate.
Comentarii recente