NUEVO BACKDOOR BOLDMOVE ASOCIADO A VULNERABILIDAD DE FORTIOS SSL-VPN

20/01/2023

BOLETÍN NRO 2023-048

Recientemente se detectó una campaña de amenazas china que que explotó una vulnerabilidad recientemente en FortiOS SSL-VPN de Fortinet, denominada CVE-2022-42475. La campaña también ha sido relacionada con un malware denominado "BOLDMOVE", que ha sido encontrado tanto en versiones de Windows como Linux.

Servicios Afectados

• Sistemas operativos Windows
• Sistemas operativos Linux
• FortiOS versión 7.2.0 hasta 7.2.2
• FortiOS versión 7.0.0 hasta 7.0.8
• FortiOS versión 6.4.0 hasta 6.4.1
• FortiOS versión 6.2.0 hasta 6.2.11
• FortiOS version 6.0.0 hasta 6.0.15
• FortiOS version 5.6.0 hasta 5.6.14
• FortiOS version 5.4.0 hasta 5.4.13
• FortiOS version 5.2.0 hasta 5.2.15
• FortiOS version 5.0.0 hasta 5.0.14
• FortiOS-6K7K versión 6.4.0 hasta 6.4.9
• FortiOS-6K7K versión 6.2.0 hasta 6.2.11
• FortiOS-6K7K versión 6.0.0 hasta 6.0.14

Detalles Tecnicos

CVE: CVE-2022-42475                                    Severidad:   ALTA

BOLDMOVE es un backdoor escrita en C y compilada con GCC 11.2.1. Realiza una encuesta del sistema y permite recibir comandos desde un servidor C2 para controlar el sistema de archivos, generar un shell remoto o retransmitir tráfico. Varias versiones de Linux de BOLDMOVE fueron identificadas, con características básicas y algunas con capacidades extendidas para alterar comportamientos específicos de los dispositivos Fortinet.

La atribución de BOLDMOVE a China es basada en las características técnicas del malware y en la orientación geográfica y sectorial que es coherente con las operaciones chinas anteriores. Los indicadores técnicos limitados apuntan a que el desarrollo del malware se compiló en una máquina en la zona horaria UTC+8, que incluye China, y en una máquina configurada para mostrar caracteres chinos. El uso de vulnerabilidades de día cero en dispositivos de red y la instalación de implantes personalizados es típico de las operaciones chinas.

Es importante destacar que a pesar de estas observaciones, la atribución siempre es una tarea compleja y no se puede confirmar completamente que una campaña específica sea llevada a cabo por un actor o grupo en particular. Sin embargo, es importante estar al tanto de las tácticas, técnicas y procedimientos utilizados por los adversarios conocidos para poder implementar medidas de seguridad adecuadas y protegerse contra futuras amenazas.

Los atacantes pueden utilizar el malware para controlar el sistema de archivos, generar un shell remoto o retransmitir tráfico a través del host infectado.Se recomienda a los usuarios de Fortinet que verifiquen si sus dispositivos están afectados y tomen medidas de mitigación para protegerse contra esta amenaza.

Indicadores de Compromiso

Hash

MD5: 12e28c14bb7f7b9513a02e5857592ad7

SHA256: 3da407c1a30d810aaff9a04dfc1ef5861062ebdf0e6d0f6823ca682ca08c37da

MD5: 3191cb2e06e9a30792309813793f78b6

SHA256: 0184e3d3dd8f4778d192d07e2caf44211141a570d45bb47a87894c68ebebeabb

MD5: 54bbea35b095ddfe9740df97b693627b

SHA256: 61aae0e18c41ec4f610676680d26f6c6e1d4d5aa4e5092e40915fe806b679cd4

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.
• Actualizar a una versión parcheada de FortiOS, según lo recomendado por Fortinet.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.

** Antes de realizar el bloqueo de IoCs o aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.
** Antes de aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

Fuente

• Fuente 1: Suspected Chinese Threat Actors Exploiting FortiOS Vulnerability (CVE-2022-42475)
• Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com

​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​