Прошлой осенью китайские хакеры использовали уязвимость в FortiOS SSL-VPN в качестве нулевой атаки на европейские правительственные учреждения и неназванного поставщика управляемых услуг (MSP) в Африке. Уязвимость использовалась для доставки пользовательского вредоносного ПО Boldmove для Linux и Windows.

Мандиантные специалисты сказалчто злоумышленники воспользовались уязвимостью CVE-2022-42475, которая представляет собой ошибку переполнения буфера в FortiOS sslvpnd и позволяет удаленно выполнять код на уязвимых устройствах без аутентификации.

Инженеры Fortinet исправили ошибку 28 ноября 2022 года, незаметно выпустив FortiOS 7.2.3, но не опубликовали никакой информации о том, что уязвимость нулевого дня и уже эксплуатируется хакерами. Только в декабре Fortinet наконец выпустила бюллетень по безопасности. ФГ-ИР-22-398В котором он публично предупредил клиентов, что уязвимость активно эксплуатируется в атаках, и всем следует как можно скорее установить обновления, чтобы исправить ошибку.

Сейчас аналитики Mandiant сообщают, что уязвимость использовалась в атаках с октября 2022 года. Злоумышленники пытались закрепиться на уязвимых устройствах с помощью специальной вредоносной программы для FortiOS, которая, в том числе, мешает процессам логирования, удаляя определенные записи или полностью отключая логирование в ФортиОС.

В своем отчете исследователи очень подробно описывают вредоносное ПО, получившее название Boldmove. Вредоносная программа представляет собой полнофункциональный бэкдор, написанный на языке C и позволяющий получить контроль над устройством, а Linux-версия вредоносной программы предназначена для работы на устройствах FortiOS.

Команды, поддерживаемые Boldmove, позволяют удаленно управлять файлами, запускать команды, создавать интерактивные оболочки и управлять бэкдором. Версии для Windows и Linux в основном одинаковы, но используют разные библиотеки, и Mandiant считает, что версия для Windows была скомпилирована в 2021 году, почти за год до версии для Linux.

Эксперты обнаружили несколько версий Boldmove с разными возможностями, но все эти образцы объединял единый набор базовых функций:

  • внедрение системы мониторинга;
  • получать команды от управляющего сервера;
  • создать удаленную оболочку на хосте;
  • передавать трафик через взломанное устройство.

Наиболее существенное различие между версиями для Linux и Windows заключается в том, что версия для Linux имеет функции, специально предназначенные для устройств FortiOS. Например, как отмечалось выше, эта версия позволяет изменять журналы Fortinet в скомпрометированной системе или полностью отключать демоны протоколирования (miglogd и syslogd), которые затрудняют отслеживание атаки.

Кроме того, эта версия Boldmove умеет отправлять запросы к внутренним службам Fortinet, что позволяет злоумышленникам рассылать сетевые запросы по внутренней сети и распространять заражение на другие устройства.

По словам исследователей, китайские хакеры продолжают атаковать уязвимые устройства в Интернете, такие как брандмауэры и устройства IPS/ISD, потому что они обеспечивают легкий доступ к сети. Mandiant отмечает, что механизмы безопасности, встроенные в такие устройства, работают плохо.

«Нет ни механизма обнаружения вредоносных процессов, запущенных на таких устройствах, ни телеметрии для упреждающего поиска вредоносных программ, развернутых на них после эксплуатации уязвимостей. Это делает сетевые устройства слепой зоной для специалистов по безопасности информации и позволяет злоумышленникам незаметно спрятаться на них для длительное время, а также использовать такие устройства для завоевания места в целевой сети», — резюмируют эксперты.

Source

ЧИТАТЬ  Злоумышленники могут использовать GitHub Codespaces для размещения и доставки вредоносных программ

от admin