Hackers chinos explotaron una vulnerabilidad zero-day para instalar malware

Presuntos hackers chinos explotaron una vulnerabilidad de FortiOS SSL-VPN recientemente revelada como un día cero en diciembre. El ataque apuntó a un gobierno europeo y un MSP africano con un nuevo malware personalizado para Linux y Windows llamado ‘BOLDMOVE’. 

La vulnerabilidad ha sido identificada como CVE-2022-42475 y Fortinet la reparó silenciosamente en noviembre. Fortinet reveló públicamente la vulnerabilidad en diciembre,  instando a los clientes  a parchear sus dispositivos ya que los atacantes estaban explotando activamente la vulnerabilidad.

La vulnerabilidad permite que los atacantes remotos no autenticados bloqueen los dispositivos objetivo de forma remota u obtengan la ejecución remota de código.

Sin embargo, no fue hasta este mes que  Fortinet compartió más detalles  sobre cómo los hackers la explotaron. Fortinet explicó que los atacantes se habían dirigido a entidades gubernamentales con malware personalizado diseñado específicamente para ejecutarse en dispositivos FortiOS.

Este incidente continúa el patrón de China de explotar los dispositivos conectados a Internet, específicamente aquellos que se utilizan con fines de seguridad administrada. Por ejemplo, firewalls, dispositivos IPS/IDS, etc. Estos dispositivos son objetivos atractivos por múltiples razones. En primer lugar, son accesibles a través de Internet y, si el atacante tiene un exploit, puede obtener acceso a una red sin necesidad de interacción con la víctima. Esto le permite al atacante controlar el momento de la operación y puede disminuir las posibilidades de detección.

Los atacantes se centraron en mantener la persistencia en los dispositivos explotados mediante el uso de malware personalizado para parchear los procesos de registro de FortiOS. Esto para que las entradas de registro específicas pudieran eliminarse o deshabilitar el proceso de registro por completo.

El nuevo malware BOLDMOVE

Recientemente, Mandiant publicó un informe sobre una supuesta campaña de espionaje chino que aprovecha la vulnerabilidad de FortiOS desde octubre de 2022. La campaña ha utilizado un nuevo malware llamado ‘BOLDMOVE’: el malware fue diseñado explícitamente para ataques en dispositivos FortiOS.

BOLDMOVE es una puerta trasera con todas las funciones escrita en C que permite a los hackers chinos obtener un control de mayor nivel sobre el dispositivo. La versión de Linux fue creada específicamente para ejecutarse en dispositivos FortiOS.

Mandiant identificó varias versiones de BOLDMOVE con diferentes capacidades, pero el conjunto básico de características observadas en todas las muestras incluye:

• Realización de topografía del sistema.
• Recepción de comandos del servidor C2 (comando y control).
• Generación de una shell remota en el host.
• Retransmisión de tráfico a través del dispositivo vulnerado

Los comandos admitidos por BOLDMOVE permiten a los atacantes administrar archivos de forma remota, ejecutar comandos, crear shells interactivas y controlar puertas traseras.

Las variantes de Windows y Linux son en gran medida iguales. No obstante, utilizan bibliotecas diferentes, y Mandiant cree que la versión de Windows se compiló en 2021, casi un año antes que la variante de Linux.

Sin embargo, la diferencia más significativa entre las versiones de Linux y Windows es que una de las variantes de Linux contiene una funcionalidad que apunta específicamente a los dispositivos FortiOS.

BOLDMOVE para Linux

Por ejemplo, una versión de Linux BOLDMOVE permite a los atacantes modificar los registros de Fortinet en el sistema comprometido o deshabilitar los demonios de registro (miglogd y syslogd) por completo. En otras palabras, dificulta que los defensores rastreen la intrusión.

Además, esta versión de BOLDMOVE puede enviar solicitudes a los servicios internos de Fortinet, lo que permite a los atacantes enviar solicitudes de red a toda la red interna y propagarse lateralmente a otros dispositivos.

Tal como dijimos al principio, el grupo de ciberespionaje chino continúa apuntando a dispositivos conectados a Internet sin parches, como firewalls y dispositivos IPS/ISD, ya que ofrecen fácil acceso a la red sin necesidad de interacción.

Desafortunadamente, no es sencillo para los defensores examinar qué procesos se ejecutan en estos dispositivos. Y, Mandiant dice que los mecanismos de seguridad nativos no funcionan muy bien para protegerlos.

“No existe un mecanismo para detectar procesos maliciosos que se ejecutan en dichos dispositivos, ni telemetría para buscar de manera proactiva imágenes maliciosas implementadas en ellos luego de la explotación de una vulnerabilidad”.

Explicación de Mandiant en el informe.

Esto hace que los dispositivos de red sean un punto ciego para los profesionales de la seguridad y permite a los atacantes esconderse en ellos y mantener el sigilo durante largos períodos, al mismo tiempo que los usan para afianzarse en una red específica.

Los exploits necesarios para comprometer estos dispositivos pueden requerir muchos recursos para desarrollarse y, por lo tanto, se utilizan con mayor frecuencia en operaciones contra objetivos protegidos y de alta prioridad; a menudo en los sectores de gobierno y defensa.

La aparición de una puerta trasera hecha a medida para uno de esos dispositivos demuestra el profundo conocimiento de los atacantes sobre cómo funcionan los dispositivos de la red perimetral y la oportunidad de acceso inicial que representan.