سواستفاده هکرهای چینی از آسیبپذیری Fortinet VPN بهعنوان Zero-Day
اخبار داغ فناوری اطلاعات و امنیت شبکه
مجموعه Mandiant گزارش میدهد که یک عامل تهدید مرتبط با چین در حال سواستفاده از آسیبپذیری Fortinet FortiOS SSL-VPN زمانی که هنوز یک آسیبپذیری روز صفر (zero-day) بود، ماهها قبل از انتشار پچها بوده است.
باگ امنیتی که تحت عنوان CVE-2022-42475 ردیابی میشود (امتیاز CVSS 9.8)، بهعنوان یک مشکل سرریز بافر (Buffer Overflow) توصیف میشود که میتواند توسط مهاجمان از راه دور و احراز هویت نشده برای اجرای کد یا دستورات از طریق درخواستهای ساخته شده، مورد سواستفاده قرار گیرد.
این نقص بر روی FortiOS SSL-VPN نسخههای 7.2.0 - 7.2.2، 7.0.0 - 7.0.8، 6.4.0 - 6.4.10، 6.2.0 - 6.2.11 و 6.0.15 و نسخههای قبلی و همچنین FortiProxy SSL-VPN نسخههای 7.2.0 - 7.2.1 و 7.0.7 و پیش از آن، تاثیر میگذارد.
در دسامبر ٢٠٢٢، Fortinet پچهای اضطراری را برای این باگ اعلام کرد و هشدار داد که قبلا در حملات مورد سواستفاده قرارگرفته شدهاند. هفته گذشته، این شرکت هشدار داد که عوامل تهدید در حال سواستفاده از CVE-2022-42475 برای هک سازمانها و دولتها هستند.
این شرکت خاطرنشان کرد که بهرهبرداری مشاهده شده را میتوان به یک عامل تهدید پیشرفته نسبت داد که بر اساس زمانهای تدوین بدافزار، میتواند جایی در منطقه آسیا-اقیانوسیه قرار داشته باشد.
اکنون Mandiant میگوید که یک عامل تهدید مرتبط با چین در اکتبر ٢٠٢٢ سواستفاده از این آسیبپذیری را آغاز کرد و یک سازمان دولتی اروپایی و یک ارائهدهنده خدمات مدیریتی در آفریقا را هدف قرار داده است.
مهاجمان یک backdoor به نام Boldmove را مستقر کردند که میتواند برای فعال کردن حرکت جانبی و تونلینگ (Tunneling) دستورات به سرور Command-and-Control (C&C) استفاده شود. هر دو نوع ویندوز و لینوکس این بدافزار شناسایی شدهاند که دومی برای اجرا بر روی فایروالهای FortiGate طراحی شده است.
مجموعه Mandiant میگوید مستقیما بهرهبرداری از CVE-2022-42475 برای استقرار Boldmove را مشاهده نکرده است، اما آدرسهای IP سختافزاری C&C را در بدافزاری که Fortinet قبلا با بهرهبرداری از این نقص مرتبط میکرد، شناسایی کرده است.
این شرکت اطلاعاتی تهدید، انواع ویندوز بدافزار را که در سال ٢٠٢١ وارد شده بود، کشف کرد، اما میگوید که قبلا این تهدید را در حملات مشاهده نکرده است.
اساسا Boldmove یک backdoor کاملا برجسته میباشد که به زبان C نوشته شده است، که مجموعهای از ویژگیهای اصلی در انواع ویندوز و لینوکس شناسایی شده دارد، اما حداقل یک تکرار لینوکس میتواند رفتار و عملکرد فایروالهای Fortinet را تغییر دهد.
این بدافزار شامل پشتیبانی از دستوراتی برای فهرست کردن اطلاعات روی فایلها، ایجاد/حذف پوشهها، جابجایی و جایگزینی فایلها، اجرای دستورات shell، ایجاد یک shell تعاملی و حذف و جایگزینی خود و غیره است.
نسخه مدل توسعهیافته Boldmove میتواند فرایندهای خاص پسزمینه که درخواستها برای سرویسهایی مانند انتقال فایل و غیره را پروسس میکند را در Fortinet غیرفعال کند، احتمالا از ورود به سیستم جلوگیری میکند، میتواند لاگهای اختصاصی Fortinet را در سیستم تغییر دهد، و از سویی دارای یک نگهبان است که به آن اجازه میدهد در طول ارتقا خود، فعالیتش ادامه داشته باشد، و به مهاجمان اجازه میدهد درخواستهایی را به یک سرویس داخلی Fortinet ارسال کنند.
مجموعه ماندیانت خاطرنشان کرد : "ما با اطمینان کمارزیابی میکنیم که این عملیات با جمهوری خلق چین ارتباط دارد. کلاسترهای China-nexus از لحاظ تاریخی علاقه قابل توجهی به هدف قرار دادن دستگاههای شبکه و دستکاری سیستم عامل یا نرمافزارهای زیربنایی که ازایندستگاهها پشتیبانی میکنند نشان دادهاند. "
برچسب ها: China-nexus, Boldmove, FortiProxy SSL-VPN, CVE-2022-42475, سرریز بافر, buffer overflow, Tunneling, FortiOS, Fortinet, China, VPN, دفاع سایبری, تهدیدات سایبری, Cyber Security, فایروال, backdoor, firewall, امنیت سایبری, Cyber Attacks, حمله سایبری, news