Según Fortinet un grupo de ciberdelincuentes han explotado una vulnerabilidad de día cero en SSL-VPN de FortiOS en ataques contra organizaciones gubernamentales y objetivos relacionados con el gobierno. El fallo ya ha sido solucionado.
El fallo de seguridad, registrado como CVE-2022-42475, es una debilidad de desbordamiento de búfer que se localizó en FortiOS SSLVPNd y permitió a ciberdelincuentes bloquear dispositivos de forma remota y la ejecución remota de código.
La compañía de seguridad de red instó a los clientes a mediados de diciembre a parchear sus dispositivos contra ataques que explotaban esta vulnerabilidad después de corregir el error el 28 de noviembre en FortiOS 7.2.3. Cabe destacar que en ese momento no dijo que se trataba de una vulnerabilidad de día cero.
No fue hasta el 7 de diciembre cuando se alertó de forma privada a los clientes y el día 12 del mismo mes cuando se advirtió de que esa amenaza se estaba explotando activamente.
Esta semana, Fortinet ha publicado un informe de seguimiento que revela que los atacantes estaban usando exploits CVE-2022-42475 para comprometer los dispositivos FortiOS SSL-VPN e implementar malware como una versión troyana del motor IPS.
Fortinet insta a una rápida actualización de FortiOS
Según Fortinet, los ataques que han llevado a cabo los ciberdelincuentes aprovechando esta vulnerabilidad eran altamente dirigidos, especialmente, a redes gubernamentales o relacionados con los gobiernos.
Los atacantes se centraron en gran medida en persistir y evadir la detección mediante el uso de la vulnerabilidad para instalar malware en los procesos de registro de FortiOS.
Las cargas útiles de los dispositivos comprometidos han revelado que el malware también rompió la funcionalidad del Sistema de prevención de intrusiones (IPS) de estos dispositivos. Una funcionalidad que estaba diseñada para detectar amenazas al monitorizar constantemente el tráfico de la red para bloquear los intentos de violación de seguridad.
Fortinet también ha manifestado que se descargaron más cargas útiles maliciosas desde un sitio remoto durante los ataques, pero no se pudieron recuperar para su análisis.
En este sentido, concluye que los ciberdelincuentes que están detrás de la explotación CVE-2022-42475 muestran «capacidades avanzadas», incluida la capacidad de aplicar ingeniería inversa a partes del sistema operativo FortiOS.
La compañía aconseja a los clientes que actualicen de inmediato a una versión parcheada de FortiOS para bloquear los intentos de ataque y se ponga en contacto con el equipo de soporte de la firma si encuentran indicadores de compromiso vinculados a los ataques de diciembre.
