Hackers chinos explotan la falla de día cero de Fortinet

La explotación de día cero de una falla de seguridad de gravedad media ahora parcheada en el sistema operativo Fortinet FortiOS se ha relacionado con un presunto grupo de piratería chino.

La firma de inteligencia de amenazas Mandiant, que hizo la atribución, dijo que el grupo de actividad es parte de una campaña más amplia diseñada para implementar puertas traseras en las soluciones de Fortinet y VMware y mantener el acceso persistente a los entornos de las víctimas.

La firma de inteligencia de amenazas y respuesta a incidentes propiedad de Google está rastreando la operación maliciosa bajo su apodo sin categorizar UNC3886, un actor de amenazas de nexo con China.

"UNC3886 es un grupo avanzado de ciberespionaje con capacidades únicas en la forma en que operan en la red, así como las herramientas que utilizan en sus campañas", dijeron los investigadores de Mandiant en un análisis técnico.

"UNC3886 se ha observado apuntando a tecnologías de firewall y virtualización que carecen de soporte EDR. Su capacidad para manipular el firmware del firewall y explotar un día cero indica que han seleccionado un nivel más profundo de comprensión de tales tecnologías".

Vale la pena señalar que el adversario estaba vinculado previamente a otro conjunto de intrusiones dirigido a servidores VMware ESXi y Linux vCenter como parte de una campaña de hiperjacking diseñada para eliminar puertas traseras como VIRTUALPITA y VIRTUALPIE.

La última revelación de Mandiant se produce cuando Fortinet reveló que las entidades gubernamentales y las grandes organizaciones fueron víctimas de un actor de amenazas no identificado al aprovechar un error de día cero en el software Fortinet FortiOS para provocar la pérdida de datos y la corrupción del sistema operativo y los archivos.

La vulnerabilidad, rastreada como CVE-2022-41328 (puntuación CVSS: 6.5), se refiere a un error de recorrido de ruta en FortiOS que podría conducir a la ejecución de código arbitrario. Fue parcheado por Fortinet el 7 de marzo de 2023.

Según Mandiant, los ataques montados por UNC3886 se dirigieron a los dispositivos FortiGate, FortiManager y FortiAnalyzer de Fortinet para implementar dos implantes diferentes como THINCRUST y CASTLETAP. Esto, a su vez, fue posible debido al hecho de que el dispositivo FortiManager estaba expuesto a Internet.


THINCRUST es una puerta trasera de Python capaz de ejecutar comandos arbitrarios, así como leer y escribir desde y hacia archivos en el disco.

La persistencia ofrecida por THINCRUST se aprovecha posteriormente para entregar scripts FortiManager que arman la falla transversal de ruta de FortiOS para sobrescribir archivos legítimos y modificar imágenes de firmware.

Esto incluye una carga útil recién agregada llamada "/ bin / fgfm" (conocida como CASTLETAP) que se dirige a un servidor controlado por actores para aceptar instrucciones entrantes que le permiten ejecutar comandos, obtener cargas útiles y filtrar datos del host comprometido.


"Una vez que CASTLETAP se implementó en los firewalls FortiGate, el actor de amenazas se conectó a las máquinas ESXi y vCenter", explicaron los investigadores. "El actor de amenazas implementó VIRTUALPITA y VIRTUALPIE para establecer la persistencia, permitiendo el acceso continuo a los hipervisores y las máquinas invitadas".

Alternativamente, en los dispositivos FortiManager que implementan restricciones de acceso a Internet, se dice que el actor de amenazas ha pivotado desde un firewall FortiGate comprometido con CASTLETAP para dejar caer una puerta trasera de shell inversa llamada REPTILE ("/ bin / klogd") en el sistema de administración de red para recuperar el acceso.

UNC3886 también emplea en esta etapa una utilidad denominada TABLEFLIP, un software de redirección de tráfico de red para conectarse directamente al dispositivo FortiManager independientemente de las reglas de lista de control de acceso (ACL) implementadas.

Esta está lejos de ser la primera vez que los colectivos adversarios chinos se han dirigido a equipos de red para distribuir malware a medida, con ataques recientes que aprovechan otras vulnerabilidades en dispositivos Fortinet y SonicWall.

La revelación también se produce cuando los actores de amenazas están desarrollando e implementando exploits más rápido que nunca, con hasta 28 vulnerabilidades explotadas dentro de los siete días posteriores a la divulgación pública, un aumento del 12% con respecto a 2021 y un aumento del 87% con respecto a 2020, según Rapid7.

Esto también es significativo, sobre todo porque los equipos de piratería alineados con China se han vuelto "particularmente competentes" en la explotación de vulnerabilidades de día cero y el despliegue de malware personalizado para robar credenciales de usuario y mantener el acceso a largo plazo a las redes objetivo.

"La actividad [...] es una prueba más de que los actores avanzados de amenazas de ciberespionaje están aprovechando cualquier tecnología disponible para persistir y atravesar un entorno objetivo, especialmente aquellas tecnologías que no admiten soluciones EDR", dijo Mandiant.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta