Uma vulnerabilidade de Zero Day no FortiOS SSL-VPN que a Fortinet abordou no mês passado foi explorada por cibercriminosos desconhecidos em ataques direcionados ao governo e outras grandes organizações.

“A complexidade da exploração sugere um ator avançado e altamente direcionado a alvos governamentais ou relacionados ao governo”, disseram pesquisadores da Fortinet em uma análise post-mortem publicada esta semana.

Os ataques envolveram a exploração de CVE-2022-42475, uma falha de estouro de buffer baseada em heap que poderia permitir que um invasor remoto não autenticado executasse código arbitrário por meio de solicitações especificamente criadas.

A cadeia de infecção analisada pela empresa mostra que o objetivo final era implantar um implante Linux genérico modificado para FortiOS, equipado para comprometer o software do sistema de prevenção de intrusão (IPS) da Fortinet e estabelecer conexões com um servidor remoto para baixar malware adicional e executar comandos.

A Fortinet disse que não conseguiu recuperar as cargas usadas nos estágios subsequentes dos ataques, e também não divulgou quando as invasões ocorreram.

Além disso, o modus operandi revela o uso de ofuscação para impedir a análise, bem como “recursos avançados” para manipular o registro do FortiOS e encerrar os processos de registro para permanecerem indetectáveis.

“Ele procura por arquivos elog, que são logs de eventos no FortiOS”, disseram os pesquisadores. “Depois de descompactá-los na memória, ele procura uma string especificada pelo invasor, a exclui e reconstrói os logs”.

O zero day identificado teve o patch de correção disponibilizado pela Fortinet através da atualização da versão do FortiOS, procedimento importante como destaca André Silva, COO da HackerSec.

“As atualizações são importantes independente da tecnologia ou dispositivo, pois é através delas que as correções de segurança e otimizações são possíveis. É importante, porém, que sejam feitos backups antes desse processo, para ter certeza que o ambiente não será afetado negativamente por conta do processo de atualização”.