En diciembre, el editor de Network Security Solutions Maduro reveló que una vulnerabilidad crítica en su sistema operativo Fortios fue explotada por los atacantes en la naturaleza. A finales de la semana pasada, después de un análisis adicional, el proveedor de equipos entregó más detalles sobre el implante de malware que estos atacantes desplegados explotando la vulnerabilidad. Según la información disponible actualmente, el ataque inicial de día cero dirigió fuertemente a entidades vinculadas a los organismos gubernamentales. Sin embargo, como la vulnerabilidad se conoce durante más de un mes, todos los clientes deben corregirlo lo antes posible, porque otros atacantes pueden comenzar a usarlo.

Índice
  1. Ejecución de código remoto en Fortios SSL-VPN
  2. El implante, oculto detrás de una versión troyanizada del motor Fortios IPS

Ejecución de código remoto en Fortios SSL-VPN

La vulnerabilidad, referenciada CVE-2022-42475, se encuentra en la funcionalidad SSL-VPN de Fortios y es explotable por los atacantes remotos sin autenticación. Una explotación exitosa puede conducir a la ejecución del código y las órdenes arbitrarias. Fortinet ha evaluado la vulnerabilidad de 9.3 (crítico) sobre el Sistema de puntuación de vulnerabilidad común (CVSS) y ha publicado actualizaciones para las principales variantes de Fortios, Fortios-6K7K y Fortiproxy, la solución de puerta de enlace web del proveedor. Fortios trabaja en unidades de seguridad de red FortiGate y otro fabricante de equipos. Los clientes que no pueden implementar actualizaciones inmediatamente pueden, a modo de derivación, desactivar completamente SSL-VPN, lo que podría ser difícil para las empresas que dependen de esta funcionalidad para sus entornos de trabajo desde una distancia o híbrido. El proveedor también ha publicado una firma IPS (Sistema de prevención de intrusiones) para detectar intentos operativos, así como reglas de detección para el implante conocido en su motor antivirus. Los clientes también pueden buscar en sus periódicos las siguientes entradas que podrían revelar intentos de operar: LogDesc = "Aplicación bloqueada" y msg = "[...] Aplicación: SSLVPND,[...]Signal 11 Recreed, Back -Trace: [...]"

El implante, oculto detrás de una versión troyanizada del motor Fortios IPS

En el ataque analizado por Fortinet, los atacantes explotaron la vulnerabilidad y copiaron una versión troyanizada del motor Fortios IPS en el sistema de archivos. Esta modificación muestra que los atacantes están altamente calificados y que pueden hacer la retirada retro de componentes de Fortios personalizados. La versión maliciosa del motor IPS se ha guardado en el sistema de archivos bajo el nombre de /data/lib/libips.bak. Esta es una copia de la versión legítima /data/lib/libips.so Pero con cambios maliciosos. De hecho, la versión maliciosa exporta dos funciones legítimas llamadas IPS_SO_PATCH_URLDBanda IPS_SO_Query_interface normalmente asociado con la versión legítima Libips.SoPero fueron desviados para ejecutar el código almacenado en otros componentes maliciosos. " Si Libps.bak se nombra Libips.So en el repertorio /datos/libEl código malicioso se ejecutará automáticamente porque los componentes de Fortios llamarán a estas funciones exportadas ”, dijeron los analistas de Fortinet. "El binario no intenta volver al propio código del motor IPS, por lo que la funcionalidad IPS también se ve comprometida", también especificaron. En otras palabras, una vez que se ejecuta la versión maliciosa, la funcionalidad IPS legítima ya no funciona correctamente. Las funciones desviadas realizan un código malicioso que se lee y luego escribe en un cierto número de archivos llamados libipptcp.So, Libgif.So, .sslvpnfigbk Y Libipudp.So.

Los analistas no han podido recuperar todos estos archivos del dispositivo de compromiso que analizaron y, por lo tanto, no pudieron reconstruir toda la cadena de ataque. Sin embargo, encontraron un archivo llamado wxd.conf cuyo contenido es similar al archivo de configuración de un proxy inverso de código abierto que puede usarse para exhibir un sistema detrás de un enrutador NAT (Tansación de dirección de red) en Internet. El análisis de las capturas de paquetes del dispositivo sugiere que el malware ha conectado dos servidores externos controlados por el atacante para descargar cargas útiles y controles adicionales que se ejecutarán. Uno de los servidores todavía estaba activo y tenía un archivo que contenía binarios específicamente diseñados para diferentes versiones del material FortiGate. Por lo tanto, los investigadores pudieron analizar archivos adicionales que, según ellos, fueron ejecutados por los atacantes de los sistemas para manipular la funcionalidad de la periodización en Fortios.

Según los investigadores:

- Malware Parche los procesos de periodización de Fortios para manipular los periódicos para escapar de la detección. - /bin /miglogd & /bin /syslogd.

- Incluye compensaciones y códigos de operación para 27 modelos y pares de versiones de FortiGate. El malware abre un mango o manejo de los procesos y le inyecta datos.

- Las versiones en cuestión varían de 6.0.5 a 7.2.1.

- Los modelos son FG100F, FG101F, FG200D, FG200E, FG201F, FG240D, FG3H0E, FG5H0E, FG6H1E, FG800D, FGT5HD, FGT60F, FGT80F.

- El malware puede manejar archivos de registro. El esta buscando archivos EleogNombre de los periódicos del evento en Fortios. Después de haberlos descomprimido en la memoria, busca una cadena de personajes especificada por el atacante, la elimina y reconstruye los periódicos.

- El malware también puede destruir los procesos de periodización.

Los investigadores también encontraron en el servicio de análisis de archivos en línea de Google Virustotal una muestra de un binario de Windows cuyo código tiene similitudes con el Binario Linux presente en Fortios. Esta muestra de Windows se compiló en una máquina ubicada en la zona horaria de UTC+8, que incluye Australia, China, Rusia, Singapur y otros países del este de Asia. Los certificados autofirmados utilizados por los atacantes también se crearon entre las zonas UTC +3 y +8. "Es difícil sacar conclusiones, porque los piratas informáticos no operan necesariamente durante las horas de oficina, sino que a menudo cuientan en las horas de sus víctimas para ahogar su actividad en la red global", dijeron los investigadores. La opinión de Fortinet contiene numerosos indicadores de compromiso, que incluyen rutas de archivos, archivos, direcciones IP e incluso firmas para detectar malware de este implante dentro de las capturas de paquetes de red.