Un grupo de ciberdelincuentes desconocidos utilizaron exploits de día cero para abusar de un de la vulnerabilidad detectada en FortiOS de Fortinet. Si bien se parcheó, ahora la compañía alerta de ataques dirigidos al gobierno y a grandes organizaciones que han llevado a la corrupción del sistema operativo y archivos, así como a la pérdida de datos.
El pasado 7 de marzo, Fortinet lanzaba una actualización de seguridad para abordar esta vulnerabilidad de alta gravedad registrada como CVE-2022-41328, que permitía a los actores de amenazas ejecutar código o comandos no autorizados.
Según la compañía, estos ciberdelincuentes pueden leer y escribir archivos arbitrarios a través de comandos CLI manipulados.
La lista de productos afectados incluye FortiOS, desde la versión 6.4.0 a 6.4.11, así como desde la versión 7.0.0 a 7.0.9, desde la versión 7.2.0 a 7.2.3, y todas las versiones de FortiOS 6.0 y 6.2.
Para parchear este fallo de seguridad, los administradores deben actualizar los productos vulnerables a la versión de FortiOS 6.4.12 y posteriores, la versión 7.0.10 y posteriores, o la versión 7.2.4 y posteriores.
Si bien en este nuevo comunicado publicado ahora no menciona que el error ya empezó a explotarse antes de que se lanzaran los parches, un informe de Fortinet publicado la semana pasada señala que la vulnerabilidad se había utilizado para hackear y eliminar varios dispositivos de firewall FortiGate pertenecientes a uno de sus clientes
El malware que acecha a Fortinet
El incidente se descubrió después de que los dispositivos Fortigate comprometidos se apagaran y apareciera el mensaje ‘el sistema inicia el modo de error debido a un error de FIPS: la autocomprobación de integridad del firmware falló y no se pudo reiniciar’.
Según Fortinet, esto sucede porque los dispositivos habilitados para FIPS (Estándares Federales de Procesamiento de la Información) verifican la integridad de los componentes del sistema y están configurados para apagarse automáticamente. De esta forma, detienen el arranque para bloquear una brecha en la red si se detecta un compromiso.
Los firewalls Fortigate se violaron a través de un dispositivo FortiManager en la red de la víctima, dado que todos se detuvieron simultáneamente, fueron pirateados con las mismas tácticas.
La investigación posterior demostró que los atacantes modificaron la imagen del firmware del dispositivo para lanzar una carga útil antes de que comenzara el proceso de arranque.
Este malware permite la filtración de datos, la descarga y escritura de archivos, o la apertura de shells remotos cuando se recibe un paquete ICMP que contiene la cadena «;7(Zu9YTsA7qQ#vm».
Redes gubernamentales, nuevo objetivo
Fortinet añade que los ataques detectados estaban altamente dirigidos, con algunas pruebas que apuntaban a objetivos gubernamentales.
El exploit requiere una comprensión profunda de FortiOS y el hardware subyacente. Los implantes personalizados muestran que el actor tiene capacidades avanzadas, incluida la ingeniería inversa de varias partes de FortiOS.
Por eso la compañía recomienda a sus clientes que actualicen de inmediato a una versión parcheada de FortiOS para bloquear posibles intentos de ataque.
En enero, Fortinet reveló una serie de incidentes muy similares en los que una vulnerabilidad SSL-VPN de FortiOS parcheada en diciembre de 2022 y registrada como CVE-2022-42475 se usó como un error de día cero para atacar a organizaciones gubernamentales y entidades relacionadas con el gobierno.
Además, los ataques de día cero SSL-VPN de FortiOS comparten muchas similitudes con una campaña de origen chino que infectó los dispositivos SonicWall Secure Mobile Access (SMA) sin parches con malware de ciberespionaje capaz de persistir pese a las actualizaciones de firmware.
