Una vulnerabilidad crítica en FortiOS SSL-VPN ( CVE-2022-42475 ) para la que Fortinet emitió parches en noviembre de 2022 ha sido explotada por atacantes para comprometer objetivos gubernamentales o relacionados con el gobierno, compartió la compañía.
Fortinet dice que los atacantes tienen capacidades avanzadas: pudieron realizar ingeniería inversa en varias partes de FortiOS para ayudarlos con la creación del exploit y usar un implante basado en Linux que fue hecho a la medida para ejecutarse en ese sistema operativo.
También señalaron que el malware puede manipular los archivos de registro para evitar la detección. “Busca archivos elog, que son registros de eventos en FortiOS. Después de descomprimirlos en la memoria, busca una cadena especificada por el atacante, la elimina y reconstruye los registros. El malware también puede acabar con los procesos de registro”, explicó la empresa.
Han compartido indicadores de compromiso (IoC), detallado cómo usarlos y han publicado una firma para los sistemas de prevención de intrusiones (IPS) que los clientes pueden usar para protegerse.
Netsparker combina la gestión de la seguridad de las aplicaciones con integraciones e informes que mejoran el flujo de trabajo de su equipo.
Conocer..
Los defensores quieren información crucial en el momento adecuado
Esta última divulgación de Fortinet ha vuelto a poner de relieve el hecho de que, cuando se lanzaron algunas de las actualizaciones de FortiOS en noviembre de 2022, no había indicios en los registros de cambios de que se hubiera solucionado una vulnerabilidad explotada en la naturaleza. La falla numerada de CVE se agregó al registro de cambios más tarde pero, nuevamente, sin indicación de su explotación.
Como han señalado algunos de los encargados de parchear las soluciones de TI y seguridad de TI de las organizaciones, un CVE en el registro de cambios habría afectado su decisión de programar la actualización más temprano que tarde.
Como alternativa a la implementación de las correcciones, Fortinet tampoco ofreció de inmediato una posible solución alternativa (deshabilitar la funcionalidad SSL-VPN).
Si bien no son la única compañía que comete este tipo de errores, todos deberían evitarlos en el futuro.
Fuente: helpnetsecurity
Si te ha gustado, ¡compártelo con tus amigos!
