CVE-2022-42475 Detection: Zero-Day Vulnerability in FortiOS SSL-VPN Exploited in Attacks Against Government Entities and Large Organizations

Bleiben Sie wachsam! Sicherheitsforscher warnen die globale Cyber-Verteidigergemeinschaft vor einer Zero-Day-Schwachstelle in FortiOS SSL-VPN, die im Dezember 2022 gepatcht wurde. Der Sicherheitsfehler, verfolgt als CVE-2022-42475 und resultierend in einer nicht authentifizierten Remote-Code-Ausführung (RCE), wurde in gezielten Angriffen gegen Regierungsbehörden und große Organisationen weltweit ausgenutzt. 

Erkennung von CVE-2022-42475: Kritische Heap-Buffer-Overflow-Schwachstelle, die zu einer nicht authentifizierten Remote-Code-Ausführung führt

Angesichts der zunehmenden Anzahl von Angriffen, die diese Schwachstelle aktiv ausnutzen, um Regierungsorganisationen anzugreifen, sind eine rechtzeitige Erkennung und proaktive Cyberabwehr entscheidend, um die öffentliche Infrastruktur vor möglichen Eindringlingen zu schützen. Um Angreifern keine Chance zu lassen, unentdeckt zu bleiben, bietet SOC Prime’s Detection as Code Plattform eine Reihe dedizierter Sigma-Regeln zur Erkennung von Exploitversuchen der CVE-2022-42475. 

FortiOS – Heap-basierter Buffer Overflow in sslvpnd Ausbeutungsindikatoren [CVE-2022-42475] (über das Web)

Diese Regel wurde vom SOC Prime Team entwickelt, um Exploit-Muster des kritischen Heap-Buffer-Overflows in FortiOS SSL-VPN zu identifizieren, die mit zielgerichteten Angriffen gegen Regierungsinstitutionen zusammenhängen. Die Erkennung ist mit 16 SIEM-, EDR- und XDR-Lösungen kompatibel und abgestimmt auf das MITRE ATT&CK® Framework v12, das die Initialzugriffstaktiken mit öffentlichen Anwendungs-Exploits (T1190) als entsprechende Technik anspricht.

Mögliche FortiOS – Heap-basierte Buffer Overflow in sslvpnd Ausbeutungsindikatoren [CVE-2022-42475]

Oben ist eine weitere Sigma-Regel des SOC Prime Teams, um Exploit-Indikatoren für CVE-2022-42475 zu identifizieren. Die Erkennung wird von Übersetzungen in 14 SIEM-, EDR- und XDR-Formate begleitet und ist mit MITRE ATT&CK abgestimmt, das Initialzugsriffe und Eskalationstaktiken mit öffentlichen Anwendungs-Exploits (T1190) und Exploitation für Privileg-Eskalation (T1068) als entsprechende Techniken anspricht. 

Über 750 Sigma-Regeln für aufkommende Schwachstellen sind verfügbar! Klicken Sie auf den Erkundungs-Detektionen Button, um sofort auf die relevanten Bedrohungserkennungsinhalte, entsprechende CTI-Links, ATT&CK-Referenzen, Ideen zur Bedrohungsjagd und Erkennungsrichtlinien zuzugreifen. 

Erkundungs-Detektionen

CVE-2022-42475 Analyse

Laut dem neuesten SOC Prime’s Detection as Code Innovation Report, zählt die proaktive Schwachstellenausnutzung zu den wichtigsten Detektionsinhalten-Prioritäten der Jahre 2021-2022. Ende 2023 verringern Bedrohungsakteure nicht ihre Versuche, Sicherheitslücken auszunutzen. 

Forscher von Fortinet berichteten kürzlich, dass unbekannte Gegner eine Zero-Day-Schwachstelle in FortiOS ausnutzten, die letzten Monat gepatcht wurde, um staatliche Institutionen und große Organisationen anzugreifen. Die identifizierte Schwachstelle in FortiOS SSL-VPN (CVE-2022-42475), die in diesen Angriffen ausgenutzt wird, ist ein Heap-basierter Buffer-Overflow-Fehler, der es Hackern ermöglicht, Remote-Code-Ausführung (RCE) durchzuführen und kompromittierte Systeme über speziell generierte Anfragen lahmzulegen. 

Fortinet entdeckte diese Schwachstelle, verfolgt als CVE-2022-42475, Mitte Dezember 2022. Aufgrund der gemeldeten Fälle ihrer aktiven Ausnutzung in der Wildnis brachte das Unternehmen einen Sicherheitshinweis heraus, der Empfehlungen enthält, um das System gegen die Liste der bereitgestellten IOCs zu validieren. Das Netzwerk-Sicherheitsunternehmen hat auch relevante Patches veröffentlicht, indem der Fehler in der FortiOS 7.2.3-Version behoben wurde, und signierte ein IPS-Signatur, damit die Kunden des Anbieters ihre Umgebungen schützen können.

Am 1. Januar 2023 veröffentlichte Fortinet jedoch ein Follow-up, das detailliert beschreibt, wie Gegner CVE-2022-42475 ausnutzten, um kompromittierte FortiOS-Instanzen zu missbrauchen, um Malware zu verbreiten, die sich als Trojanisierte Version der IPS Engine erwies. Die Forscher des Unternehmens gaben zu, dass die Exploit-Versuche von raffinierten Gegnern durchgeführt wurden, die darauf abzielen, zielgerichtete Angriffe gegen regierungsnahe Organisationen zu starten. 

In der laufenden Kampagne haben Bedrohungsakteure fortschrittliche Techniken eingesetzt, um Persistenz aufrechtzuerhalten und Erkennung zu vermeiden, was zur insgesamt erhöhten Komplexität des Angriffs beiträgt. Die Schwachstellenausnutzung ermöglicht es Angreifern, die bösartigen Proben abzusetzen, die Protokolldateien manipulieren und in der Lage sind, die FortiOS-Protokollierungsprozesse zu zerstören. Laut Fortinet’s Forschung, war das endgültige Ziel der Hacker, das benutzerdefinierte Linux-Implantat zu verbreiten, um die IPS-Antimalware-Fähigkeiten der Zieleinrichtungen zu beschädigen und eine Verbindung zu einem entfernten Server herzustellen, der die Bereitstellung weiterer Nutzlasten fördert und die Befehlsausführung ermöglicht.

Höchst anspruchsvolle Angriffe, die ein tiefes Verständnis der FortiOS-Umgebung, den Einsatz generischer Implantate und Reverse-Engineering-Techniken erfordern, deuten darauf hin, dass die mit dieser Kampagne verbundenen Bedrohungsakteure über fortschrittliche Fähigkeiten verfügen und eine Herausforderung für Cyber-Verteidiger darstellen. Um die böswilligen Aktivitäten im Zusammenhang mit fortgeschrittenen persistenten Bedrohungen zu identifizieren, tauchen Sie in SOC Prime’s Detektionsinhalts-Repository ein, das über 900 Regeln für APT-bezogene Tools und Angriffe aggregiert. Erhalten Sie 200+ kostenlos auf https://socprime.com/ oder greifen Sie auf alle Regeln mit On Demand zu unter https://my.socprime.com/pricing.