Una vulnerabilidad crítica en FortiOS SSL-VPN (CVE-2022-42475) para la que Fortinet ha publicado parches en noviembre de 2022 ha sido explotada por atacantes para comprometer objetivos gubernamentales o relacionados con el gobierno, según ha compartido la compañía.
Fortinet dice que los atacantes tienen capacidades avanzadas: fueron capaces de realizar ingeniería inversa en varias partes de FortiOS para ayudarles con la creación del exploit, y utilizar un implante basado en Linux que fue hecho a medida para ejecutarse en ese sistema operativo.
También señalaron que el malware puede manipular los archivos de registro para evitar ser detectado. "Busca archivos elog, que son registros de eventos en FortiOS. Tras descomprimirlos en memoria, busca una cadena especificada por el atacante, la borra y reconstruye los registros. El malware también puede matar los procesos de registro", explica la empresa.
Han compartido indicadores de compromiso (IoC) y detallado cómo utilizarlos, y han publicado una firma para los sistemas de prevención de intrusiones (IPS) que los clientes pueden utilizar para protegerse.
Los defensores quieren información crucial en el momento oportuno
Esta última revelación de Fortinet ha vuelto a poner de relieve el hecho de que, cuando se publicaron algunas de las actualizaciones de FortiOS en noviembre de 2022, no había ninguna indicación en los registros de cambios de que se hubiera corregido una vulnerabilidad explotada en la naturaleza.
El fallo con número CVE se añadió al registro de cambios más tarde pero, de nuevo, sin indicación de su explotación.
Como han señalado algunos de los responsables de la aplicación de parches a las soluciones informáticas y de seguridad informática de las organizaciones, la presencia de un CVE en el registro de cambios habría afectado a su decisión de programar la actualización más pronto que tarde.
Como alternativa a la aplicación de las correcciones, Fortinet tampoco ofreció inmediatamente una posible solución (desactivar la funcionalidad SSL-VPN).
Aunque no es la única empresa que comete este tipo de errores, todos deberían evitarlos en el futuro.
Fuente: helpnetsecurity