Los piratas informáticos apuntan activamente a las organizaciones gubernamentales con malware y troyanos, utilizando vulnerabilidades conocidas en Fortinet VPN (se abre en una pestaña nueva) accesorios.
Esto es de acuerdo con el propio Fortinet, que publicó un aviso de seguridad a principios de esta semana, instando a los usuarios a implementar el parche de inmediato. La falla se rastrea como CVE-2022-42475 y se describe como un desbordamiento de búfer basado en montón en FortiOS SSLVPN. Permite a los abusadores bloquear el punto final vulnerable y usarlo para obtener capacidades de ejecución remota de código (RCE).
El parche ha estado disponible desde finales de noviembre del año pasado. FortiOS 7.2.3 soluciona el problema.
Ataques altamente dirigidos
Esta no es la primera vez que Fortinet insta a los usuarios a aplicar este parche específico; también emitió una advertencia a mediados de diciembre de 2022. Esta vez, Fortinet advirtió a sus clientes que la falla se estaba utilizando para implementar una versión troyana del motor PIS. .
«La complejidad del exploit sugiere un actor avanzado y que está altamente dirigido a objetivos gubernamentales o relacionados con el gobierno», se lee en la advertencia. «La muestra de Windows descubierta atribuida al atacante mostraba artefactos de haber sido compilada en una máquina en la zona horaria UTC+8, que incluye Australia, China, Rusia, Singapur y otros países de Asia oriental».
los actores de amenazas hacen un gran esfuerzo para asegurarse de que permanezcan ocultos, después de comprometer el punto final.
Parte del malware instalado en FortiOS parchea el proceso de registro, lo que permite a los atacantes eliminar entradas de registro específicas y así borrar cualquier evidencia de su existencia. Además, han estado instalando malware que también manipula el Sistema de prevención de intrusiones (IPS) de los terminales.
“El malware parchea los procesos de registro de FortiOS para manipular los registros y evadir la detección”, dijo Fortinet. «El malware puede manipular archivos de registro. Busca archivos elog, que son registros de eventos en FortiOS. Después de descomprimirlos en la memoria, busca una cadena especificada por el atacante, la elimina y reconstruye los registros».
La mejor manera de proteger sus instalaciones de estos ataques es asegurarse de que su FortiOS esté actualizado.
Vía: BleepingComputer (se abre en una pestaña nueva)