Hacker zielen aktiv mit Malware und Trojanern auf Regierungsorganisationen ab, indem sie bekannte Schwachstellen in Fortinet VPN ausnutzen (öffnet in neuem Tab) Haushaltsgeräte.
Dies ist laut Fortinet selbst, das Anfang dieser Woche eine Sicherheitsempfehlung veröffentlicht hat, in der die Benutzer aufgefordert werden, den Patch sofort bereitzustellen. Der Fehler wird als CVE-2022-42475 verfolgt und als heapbasierter Pufferüberlauf in FortiOS SSLVPN beschrieben. Es ermöglicht Angreifern, den anfälligen Endpunkt zum Absturz zu bringen und ihn zu verwenden, um Remote Code Execution (RCE)-Fähigkeiten zu erlangen.
Der Patch ist seit Ende November letzten Jahres verfügbar. FortiOS 7.2.3 behebt das Problem.
Sehr gezielte Angriffe
Dies ist nicht das erste Mal, dass Fortinet Benutzer dazu auffordert, diesen speziellen Patch anzuwenden – es gab Mitte Dezember 2022 auch eine Warnung heraus. Dieses Mal warnte Fortinet seine Kunden, dass der Fehler zur Bereitstellung einer trojanisierten Version der PIS-Engine verwendet wurde .
„Die Komplexität des Exploits deutet auf einen fortgeschrittenen Akteur hin und darauf, dass er stark auf staatliche oder regierungsnahe Ziele abzielt“, heißt es in der Warnung. „Das entdeckte Windows-Sample, das dem Angreifer zugeschrieben wird, zeigte Artefakte, die darauf hindeuten, dass es auf einem Computer in der Zeitzone UTC+8 kompiliert wurde, zu der Australien, China, Russland, Singapur und andere ostasiatische Länder gehören.“
Angreifer unternehmen große Anstrengungen, um sicherzustellen, dass sie verborgen bleiben, nachdem sie den Endpunkt kompromittiert haben.
Einige der auf FortiOS installierten Malware patchen den Protokollierungsprozess, sodass Angreifer bestimmte Protokolleinträge entfernen und somit alle Beweise für ihre Existenz löschen können. Darüber hinaus haben sie Malware installiert, die auch das Intrusion Prevention System (IPS) der Endpunkte manipuliert.
„Die Malware patcht die Protokollierungsprozesse von FortiOS, um Protokolle zu manipulieren, um der Erkennung zu entgehen“, sagte Fortinet. „Die Malware kann Protokolldateien manipulieren. Sie sucht nach Elog-Dateien, die Protokolle von Ereignissen in FortiOS sind. Nachdem sie sie im Speicher dekomprimiert hat, sucht sie nach einer vom Angreifer angegebenen Zeichenfolge, löscht sie und rekonstruiert die Protokolle.“
Der beste Weg, Ihre Räumlichkeiten vor diesen Angriffen zu schützen, besteht darin, sicherzustellen, dass Ihr FortiOS aktualisiert wird.
Über: Piepender Computer (öffnet in neuem Tab)