Vulnerabilidad CVE-2022-42475

Entre 2022 y 2023, actores de amenazas patrocinados por el estado vinculados a China se infiltraron en 20.000 sistemas Fortinet FortiGate en todo el mundo explotando una falla de seguridad crítica conocida. Esta violación revela un impacto más amplio de lo que se había reconocido anteriormente.

El actor estatal responsable de esta operación ya conocía la vulnerabilidad en los sistemas FortiGate al menos dos meses antes de que Fortinet la revelara. Durante este período, conocido como ventana de día cero, el actor comprometió con éxito 14.000 dispositivos.

Según un informe conjunto del Servicio de Seguridad e Inteligencia Militar holandés (MIVD) y el Servicio de Seguridad e Inteligencia General (AIVD) de principios de 2024, los piratas informáticos chinos explotaron CVE-2022-42475, una vulnerabilidad crítica de ejecución remota de código FortiOS/FortiProxy. Durante varios meses de 2022 y 2023, los atacantes lograron instalar malware en dispositivos de seguridad de red vulnerables de Fortigate.

Los atacantes implementaron Coathanger RAT en dispositivos comprometidos

El malware Coathanger Remote Access Trojan (RAT), descubierto en los ataques, también fue detectado en una red perteneciente al Ministerio de Defensa holandés, utilizada específicamente para Investigación y Desarrollo (I+D) en proyectos no clasificados. Afortunadamente, debido a la segmentación de la red, los atacantes no pudieron infiltrarse en otros sistemas.

Esta cepa de malware previamente no revelada, capaz de persistir a través de reinicios del sistema y actualizaciones de firmware, fue empleada por un grupo de hackers patrocinado por el estado chino en una campaña de espionaje político dirigida a los Países Bajos y sus aliados. Esto otorgó al actor estatal acceso persistente a los sistemas comprometidos. Incluso con las actualizaciones de seguridad instaladas desde FortiGate, el actor estatal mantiene este acceso.

Se desconoce el número exacto de víctimas que tenían el malware instalado. Sin embargo, los investigadores especulan que el actor estatal podría potencialmente ampliar su acceso a cientos de víctimas en todo el mundo, permitiendo acciones adicionales como el robo de datos.

Es posible que los ciberdelincuentes aún tengan acceso a los dispositivos vulnerados

Desde febrero, ha salido a la luz que un grupo de amenazas chino obtuvo acceso a más de 20.000 sistemas FortiGate en todo el mundo entre 2022 y 2023, durante varios meses, al menos dos meses antes de que Fortinet revelara la vulnerabilidad CVE-2022-42475.

El MIVD sugiere que los piratas informáticos chinos probablemente mantienen el acceso a numerosas víctimas porque el malware Coathanger es experto en evadir la detección interceptando llamadas al sistema, lo que hace que su presencia sea difícil de identificar. Además, es resistente a la eliminación y sobrevive a las actualizaciones de firmware. CVE-2022-42475 fue explotada como una vulnerabilidad de día cero, dirigida principalmente a organizaciones gubernamentales y entidades afiliadas, como se reveló en enero de 2023.

Estos ataques comparten sorprendentes similitudes con otra campaña de piratería china que se centró en explotar dispositivos SonicWall Secure Mobile Access (SMA) sin parches, utilizando malware de ciberespionaje diseñado para persistir a través de actualizaciones de firmware.