Fortinet tìm thấy lỗ hổng khai thác Zero-Day trong các cuộc tấn công của chính phủ sau khi thiết bị phát hiện vi phạm tính toàn vẹn

Fortinet cảnh báo rằng một lỗ hổng FortiOS được xử lý gần đây đã bị một kẻ đe dọa tinh vi khai thác trong các cuộc tấn công nhắm mục tiêu cao chống lại chính phủ và các tổ chức liên quan đến chính phủ.

Được vá vào tuần trước , lỗi này được theo dõi là CVE-2022-41328 và được mô tả là sự cố truyền tải đường dẫn ở mức độ nghiêm trọng trung bình dẫn đến việc thực thi lệnh. Khi thông báo về sự sẵn có của các bản sửa lỗi, Fortinet đã không đề cập đến việc đây thực sự là một lỗ hổng zero-day.

“Việc giới hạn không chính xác tên đường dẫn đối với lỗ hổng thư mục bị hạn chế ('path traversal') trong FortiOS có thể cho phép kẻ tấn công có đặc quyền đọc và ghi các tệp tùy ý thông qua các lệnh CLI được tạo thủ công,” Fortinet lưu ý trong lời khuyên của mình.

Fortinet cho biết trong một bài đăng trên blog, lỗi bảo mật được xác định sau “sự cố hệ thống đột ngột và sau đó là lỗi khởi động – một thiết kế để bảo vệ chống lại sự thỏa hiệp – của nhiều thiết bị FortiGate của một khách hàng”.

Việc tắt máy được kích hoạt do tự kiểm tra tính toàn vẹn không thành công sau khi hệ thống phát hiện các sửa đổi của hình ảnh chương trình cơ sở nhằm cung cấp cho kẻ tấn công quyền truy cập và kiểm soát liên tục.

Theo Fortinet, những kẻ tấn công có khả năng đã xâm phạm các thiết bị FortiGate bị ảnh hưởng thông qua phần mềm quản lý FortiManager, vì tất cả các thiết bị đều dừng cùng một lúc, tất cả đều bị xâm phạm theo cùng một cách và khai thác đường dẫn đã được thực hiện cùng lúc với các tập lệnh được thực thi thông qua FortiManager.

Fortinet giải thích: “Khai thác này sẽ cho phép các tệp tùy ý được tải lên FortiGate thông qua máy chủ TFTP theo đường dẫn được chỉ định. Những kẻ tấn công có thể đã cố gắng thay thế một tiện ích Linux hợp pháp và thực thi nó bằng dòng lệnh.

Phân tích các hình ảnh chương trình cơ sở bị nhiễm cho thấy việc bổ sung ba tệp và sửa đổi tập lệnh khởi động FortiManager để tồn tại lâu dài. Fortinet cho biết những kẻ tấn công cũng đã sửa đổi các thành phần Django của FortiManager để truy cập và kiểm soát liên tục.

Một trong những công cụ độc hại sẽ thiết lập kết nối đến máy chủ chỉ huy và kiểm soát (C&C) của kẻ tấn công để nhận các lệnh cho phép tác nhân đe dọa trích xuất dữ liệu, tải xuống các tải trọng bổ sung và khởi chạy shell từ xa. Một tệp độc hại thứ hai có chức năng tương tự cũng được tìm thấy.

Một tệp độc hại khác được thiết kế để cung cấp cho kẻ tấn công khả năng thực thi lệnh shell với quyền root, nhằm chuyển hướng lưu lượng truy cập và truy vấn giao diện mạng của thiết bị để xác định địa chỉ IP không bắt đầu bằng '127'.

Các tệp độc hại khác được thiết kế để thực thi và xóa các thành phần cụ thể, tắt/bật xác minh chương trình cơ sở khi khởi động và hiển thị một điểm cuối bổ sung để thực thi mã.

Theo Fortinet, khai thác được phân tích cho thấy tác nhân đe dọa có hiểu biết sâu sắc về cả FortiOS và phần cứng cơ bản, và chúng có khả năng thiết kế ngược các phần khác nhau của nền tảng.

Theo : https://www.securityweek.com/fortinet-finds-zero-day-exploit-in-government-attacks-after-devices-detect-integrity-breach/