ACTUALIZACIÓN DE FORTIOS SSL-VPN RELACIONADO A ATAQUES GUBERNAMENTALES

12/01/2023

BOLETÍN NRO 2023-030

Recientemente se ha informado que una vulnerabilidad de FortiOS SSL-VPN parcheada en el mes pasado, es utilizado por ciberdelincuentes para realizar ataques contra organizaciones gubernamentales.
La actualización de seguridad para esta vulnerabilidad fue emitido en nuestro Boletín SecureSoft-Nro. 2022-721.

Servicios Afectados

• FortiOS versión 7.2.0 hasta 7.2.2
• FortiOS versión 7.0.0 hasta 7.0.8
• FortiOS versión 6.4.0 hasta 6.4.10
• FortiOS versión 6.2.0 hasta 6.2.11
• FortiOS version 6.0.0 hasta 6.0.15
• FortiOS version 5.6.0 hasta 5.6.14
• FortiOS version 5.4.0 hasta 5.4.13
• FortiOS version 5.2.0 hasta 5.2.15
• FortiOS version 5.0.0 hasta 5.0.14
• FortiOS-6K7K versión 7.0.0 hasta 7.0.7
• FortiOS-6K7K versión 6.4.0 hasta 6.4.9
• FortiOS-6K7K versión 6.2.0 hasta 6.2.11
• FortiOS-6K7K versión 6.0.0 hasta 6.0.14

Detalles Tecnicos

CVE: CVE-2022-42475                                    Severidad:   ALTA

La vulnerabilidad (CVE-2022-42475) abusada en estos incidentes, es una debilidad de desbordamiento de búfer basada en montón que se encuentra en FortiOS SSLVPNd, que permite a los atacantes no autenticados bloquear dispositivos objetivos de forma remota u obtener la ejecución remota de código.

Fortinet instó a los clientes a mediados de diciembre a parchear sus dispositivos contra los ataques en curso que explotan esta vulnerabilidad, después de corregir silenciosamente el error del 28 de noviembre en FortiOS 7.2.3 (y sin revelar información de que era un día cero).

Los clientes fueron alertados de forma privada sobre este problema el 7 de diciembre a través de un aviso TLP: Amber. Se publicó más información el 12 de diciembre, incluida una advertencia de que el error se estaba explotando activamente en los ataques.

"Fortinet tiene conocimiento de una instancia en la que se explotó esta vulnerabilidad", dijo la compañía en ese momento, recomendando a los administradores que verifiquen de inmediato sus sistemas con una lista de indicadores de compromiso compartidos en este aviso.

Fortinet publicó un informe de seguimiento que revela que los atacantes estaban usando exploits CVE-2022-42475 para comprometer los dispositivos FortiOS SSL-VPN, con el objetivo de implementar malware desarrollado como una versión troyana del motor IPS.

La compañía dijo que los ataques del ciberdelincuente estaban altamente dirigidos, con evidencia encontrada durante el análisis, muestran un enfoque en las redes gubernamentales.

"La complejidad del exploit sugiere un ataque avanzado y que está altamente dirigido a objetivos gubernamentales o relacionados con el gobierno", dijo Fortinet.

"La muestra de Windows descubierta atribuida al atacante, mostraba artefactos de haber sido compilada en una máquina en la zona horaria UTC+8, que incluye Australia, China, Rusia, Singapur y otros países de Asia oriental".

Los ciberdelincuentes se centraron en gran medida en mantener la persistencia y evadir la detección mediante el uso de la vulnerabilidad para instalar malware, que parchea los procesos de registro de FortiOS para que se puedan eliminar entradas de registro específicas, o incluso eliminar los procesos de registro si es necesario.

Los payload adicionales descargadas en los dispositivos comprometidos, revelaron que el malware también rompió la funcionalidad del Sistema de prevención de intrusiones (IPS) de los dispositivos comprometidos, diseñada para detectar amenazas al monitorear constantemente el tráfico de la red para bloquear los intentos de vulneración de seguridad.

“El malware parchea los procesos de registro de FortiOS para manipular los registros y evadir la detección”, dijo Fortinet.

"El malware puede manipular archivos de registro. Busca archivos elog, que son registros de eventos en FortiOS. Después de descomprimirlos en la memoria, busca una cadena especificada por el atacante, la elimina y reconstruye los registros".

Fortinet advirtió que se descargaron más payload maliciosos desde un sitio remoto durante los ataques, pero no se pudieron recuperar para su análisis.

La compañía concluyó que el atacante detrás de la explotación CVE-2022-42475 del mes pasado muestra "capacidades avanzadas", incluida la capacidad de aplicar ingeniería inversa a partes del sistema operativo FortiOS.

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Actualizar a una versión parcheada de FortiOS, según lo recomendado por Fortinet. 

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

** Antes de aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.

Fuente

• Fuente 1: Fortinet: Govt networks targeted with now-patched SSL-VPN zero-day
• Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com

​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​