0
0
Uma vulnerabilidade crítica no FortiOS SSL-VPN ( CVE-2022-42475 ) para a qual a Fortinet emitiu patches em novembro de 2022 foi explorada por invasores para comprometer alvos governamentais ou relacionados ao governo, a empresa compartilhou.
A Fortinet diz que os invasores têm recursos avançados: eles foram capazes de fazer engenharia reversa de várias partes do FortiOS para ajudá-los na criação do exploit e usar um implante baseado em Linux que foi feito sob medida para rodar naquele sistema operacional.
Eles também apontaram que o malware pode manipular arquivos de log para evitar a detecção. “Ele procura por arquivos elog, que são logs de eventos no FortiOS. Depois de descompactá-los na memória, ele procura uma string especificada pelo invasor, a exclui e reconstrói os logs. O malware também pode matar os processos de registro”, explicou a empresa .
Eles compartilharam indicadores de comprometimento (IoCs) e detalharam como usá-los , e lançaram uma assinatura para sistemas de prevenção de intrusão (IPS) que os clientes podem usar para se proteger.
Os defensores querem informações cruciais no momento certo
Esta última divulgação da Fortinet trouxe novamente à tona o fato de que, quando algumas das atualizações do FortiOS foram lançadas em novembro de 2022, não havia nenhuma indicação nos logs de alterações de uma vulnerabilidade explorada na natureza corrigida. A falha numerada CVE foi adicionada ao log de alterações posteriormente, mas, novamente, sem indicação de sua exploração.
Como apontaram alguns dos encarregados de corrigir as soluções de TI e TI Sec das organizações , um CVE no registro de alterações teria afetado a decisão de agendar a atualização o quanto antes.
Como alternativa à implementação das correções, a Fortinet também não ofereceu imediatamente uma possível solução alternativa (desativar a funcionalidade SSL-VPN).
Embora não sejam a única empresa a cometer esses tipos de erros, eles devem ser evitados por todos no futuro.
FONTE: HELPNET SECURITY