FortiOS: Qué es la vulnerabilidad CVE-2022-42475 y cómo funciona el malware BOLDMOVE
En diciembre de 2022, la empresa de seguridad Mandiant, ahora parte de Google Cloud, identificó un malware FortiOS escrito en C que aprovechaba la vulnerabilidad CVE-2022-42475 de FortiOS. Según Mandiant, el malware, al que ha llamado BOLDMOVE, existe en variantes de Linux y Windows.
¿Qué es la vulnerabilidad CVE-2022-42475?
Esta vulnerabilidad crítica afecta a FortiOS, un sistema operativo desarrollado por Fortinet, y consiste en un desbordamiento de búfer basado en el montón en FortiOS SSL-VPN, que podría permitir a un atacante ejecutar código o comandos a través de solicitudes especialmente diseñadas. Fortinet parchó la vulnerabilidad tres días después de su descubrimiento, pero al menos un actor de amenazas la utilizó antes del parche.
Un análisis detallado de la vulnerabilidad realizado por Fortinet revela que "la complejidad del exploit sugiere un actor avanzado y que está altamente dirigido a objetivos gubernamentales o relacionados con el gobierno".
El investigador de seguridad Kevin Beaumont también informó que un grupo de ransomware lo está explotando, aunque sin proporcionar más detalles.
¿Cómo funciona BOLDMOVE?
La versión de Windows, aunque no se ha visto que se utilice en la naturaleza, parece haberse compilado a principios de 2021. Es posible que el malware se haya utilizado desde ese momento, sin contener ninguna explotación de CVE-2022-42475. Solo la versión de Linux del malware activa esa explotación.
Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivelLa versión de Linux del malware, al ejecutarse, realiza una encuesta del sistema y habilita la comunicación con un servidor de control y comando codificado en el malware. También puede ejecutar comandos de shell o retransmitir el tráfico de red. Los investigadores han encontrado diferentes versiones del malware, al menos una variante capaz de "alterar comportamientos y funcionalidades específicas de dispositivos Fortinet, en particular los firewalls FortiGate".
La encuesta del sistema realizada por el malware recopila varias piezas de información, incluida la versión del sistema operativo, el nombre del host, información de la interfaz de red, el ID de usuario del proceso de puertas traseras y el ID de proceso del proceso del malware.
En cuanto a las funcionalidades admitidas por el malware, aquí están todas las funcionalidades esperadas para una puerta trasera, incluyendo listar/crear/eliminar directorios o archivos, ejecutar comandos de shell con o sin enviar la salida al atacante y proporcionar capacidades de retransmisión de red.
La puerta trasera también tiene características ampliadas, como verificar que se ejecute únicamente desde una determinada ruta y deshabilitar los demonios miglogd y syslogd de Fortinet en un intento probable de desactivar las capacidades de registro en los dispositivos afectados.
Además, el malware permite al atacante eliminar o modificar partes de los registros propietarios de Fortinet en el sistema.
El liderazgo chino
Mandiant evalúa con baja confianza que la operación tiene vínculos con la República Popular China. Históricamente, los grupos chinos de ciberespionaje siempre han mostrado un interés particular en apuntar a los dispositivos y sistemas operativos de las redes. Los actores de amenazas chinos comprometieron en el pasado los dispositivos de VPN Pulse Secure o explotaron vulnerabilidades zero-day en el producto de seguridad de correo electrónico de SonicWall.
Cómo proteger tu computadora de los virus: métodos y consejosLas marcas de tiempo compiladas de las variantes del malware revelan un probable desarrollo del malware en la zona horaria UTC+8, que incluye Australia, China, Rusia, Singapur y otros países del este de Asia, en una máquina configurada para mostrar caracteres chinos.
La ubicación geográfica de los objetivos también es consistente con operaciones chinas anteriores, según Mandiant.
Una amenaza difícil de detectar
Los investigadores de Mandiant informan sobre el creciente número de dispositivos gestionados y orientados a Internet objetivo de actores de amenazas chinos. Los ataques a través de esos dispositivos son muy difíciles de detectar, ya que los defensores a menudo tienen poca o ninguna información sobre esos dispositivos, algunos de los cuales ni siquiera tienen ningún sistema de registro.
Los dispositivos de red suelen ser puntos ciegos que no están cubiertos por soluciones de seguridad y permiten a los atacantes esconderse y permanecer sin ser descubiertos durante largos períodos, además de proporcionar un punto de apoyo persistente en una red objetivo.
Esos sistemas siempre deberían actualizarse y parchearse sin demora y se debe habilitar el registro cuando sea posible y exportarlo a herramientas de seguridad para su detección y análisis. En un caso más general, se recomienda tener siempre todos los sistemas y su software actualizados y parcheados para evitar compromisos a través de vulnerabilidades comunes.
Aunque es difícil detectar compromisos en dispositivos y sistemas de red, los atacantes aún necesitan operar en otras partes de la red comprometida; por lo tanto, los puntos finales y los servidores deben ser revisados minuciosamente en busca de eventos anómalos.
¡Defiéndete! Protege tu seguridad en línea contra amenazas críticasEn Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a FortiOS: Qué es la vulnerabilidad CVE-2022-42475 y cómo funciona el malware BOLDMOVE , tenemos lo ultimo en tecnología 2023.
Artículos Relacionados