Cibercriminosos exploraram uma vulnerabilidade FortiOS SSL-VPN divulgada recentemente como um zero day em dezembro, visando um governo europeu e um MSP africano com um novo malware personalizado ‘BOLDMOVE’ para Linux e Windows.
A vulnerabilidade é rastreada como CVE-2022-42475 e foi discretamente corrigida pela Fortinet em novembro. A Fortinet divulgou publicamente a vulnerabilidade em dezembro, pedindo aos clientes que corrigissem seus dispositivos, pois os agentes de ameaças estavam explorando ativamente a falha.
A falha permite que invasores remotos não autenticados travem dispositivos de destino remotamente ou obtenham execução remota de código.
No entanto, a Fortinet compartilhou mais detalhes sobre como os hackers exploraram a falha, explicando que os agentes de ameaças tinham como alvo entidades governamentais com malware personalizado projetado especificamente para rodar em dispositivos FortiOS.
O BOLDMOVE é um malware completo escrito em C que permite que os hackers obtenham controle de nível superior sobre o dispositivo, com a versão Linux criada especificamente para rodar em dispositivos FortiOS.
Os comandos suportados pelo BOLDMOVE permitem que os agentes de ameaças gerenciem remotamente arquivos, executem comandos, criem shells interativos e controlem backdoors.