Según Fortinet atacantes desconocidos están explotando una vulnerabilidad de día cero SSL-VPN de FortiOS parcheada el mes pasado en ataques a organizaciones gubernamentales y objetivos relacionados con el gobierno.
El problema de seguridad explotado (CVE-2022-42475) es una vulnerabilidad de desbordamiento de búfer que se encuentra en FortiOS SSL-VPN y que permite a los atacantes no autenticados bloquear dispositivos vulnerables u obtener la ejecución remota de código de forma remota.
Explica la compañía que los ciberdelincuentes tienen capacidades avanzadas ya que ha podido realizar ingeniería inversa en varias partes de FortiOS para crear el exploit y usar un implante basado en Linux hecho a la medida para ejecutarse en ese sistema operativo. También señala que el malware puede manipular los archivos de registro para evitar la detección. “Busca archivos elog, que son registros de eventos en FortiOS. Después de descomprimirlos en la memoria, busca una cadena especificada por el atacante, la elimina y reconstruye los registros. El malware también puede acabar con los procesos de registro”, publica la empresa.
El análisis detallado de las acciones que están llevando a cabo los ciberdelincuentes ha permitido a Fortinet compartir IoC adicionales
A través del post la compañía dice que la muestra de Windows detectada atribuida al atacante “exhibió artefactos de compilación en una máquina en la zona horaria UTC+8, que abarca Australia, China, Rusia, Singapur y otros países de Asia oriental”.
