Detección CVE-2022-42475: Vulnerabilidad de Día Cero en FortiOS SSL-VPN Explotada en Ataques Contra Entidades Gubernamentales y Grandes Organizaciones
Tabla de contenidos:
¡Mantente alerta! Los investigadores de seguridad están advirtiendo a la comunidad global de defensores cibernéticos sobre una vulnerabilidad de día cero en FortiOS SSL-VPN, que fue parcheada en diciembre de 2022. La falla de seguridad, rastreada como CVE-2022-42475 y que resulta en la ejecución remota de código (RCE) no autenticada, ha sido explotada en ataques dirigidos contra agencias gubernamentales y grandes organizaciones en todo el mundo.
Detectar CVE-2022-42475: Vulnerabilidad crítica de desbordamiento de búfer en heap que resulta en ejecución remota de código no autenticada
En vista del creciente número de ataques que explotan activamente esta vulnerabilidad para atacar a organizaciones gubernamentales, la detección oportuna y la defensa cibernética proactiva son críticas para proteger la infraestructura pública de posibles intrusiones. Para no dejar oportunidad a los atacantes de pasar desapercibidos, la plataforma Detection as Code de SOC Prime ofrece un lote de reglas Sigma dedicadas a detectar intentos de explotación del CVE-2022-42475.
Esta regla ha sido desarrollada por el equipo de SOC Prime para identificar patrones de explotación del desbordamiento crítico de búfer en heap en FortiOS SSL-VPN relacionado con ataques dirigidos contra instituciones gubernamentales. La detección es compatible con 16 soluciones SIEM, EDR, y XDR y está alineada con el marco MITRE ATT&CK® v12 abordando las tácticas de Acceso Inicial con Exploit Public-Facing Applications (T1190) como técnica correspondiente.
Arriba hay otra regla Sigma del equipo de SOC Prime para identificar indicadores de explotación para CVE-2022-42475. La detección viene acompañada de traducciones a 14 formatos SIEM, EDR, y XDR y está alineada con MITRE ATT&CK abordando las tácticas de Acceso Inicial y Escalada de Privilegios con Exploit Public-Facing Applications (T1190) y Explotación para Escalada de Privilegios (T1068) como técnicas correspondientes.
¡Más de 750 reglas Sigma para vulnerabilidades emergentes están a mano! Pulsa el Explorar Detecciones botón para acceder instantáneamente al contenido de detección de amenazas relevante, enlaces CTI correspondientes, referencias ATT&CK, ideas de caza de amenazas y orientación sobre ingeniería de detección.
Análisis de CVE-2022-42475
De acuerdo con el último informe de Innovación en Detección como Código de SOC Prime, la explotación proactiva de vulnerabilidades se clasifica como una de las principales prioridades de contenido de detección de 2021-2022. Al inicio de 2023, los actores de amenazas no disminuyen sus intentos de aprovechar las fallas de seguridad.
Los investigadores de Fortinet han informado recientemente que adversarios desconocidos explotaron una vulnerabilidad de día cero en FortiOS, parchada el mes pasado, para atacar a organismos estatales y grandes organizaciones. La vulnerabilidad identificada en FortiOS SSL-VPN (CVE-2022-42475), aprovechada en estos ataques, es un error de desbordamiento de búfer basado en heap, que permite a los hackers realizar ejecución remota de código (RCE) y paralizar sistemas comprometidos a través de solicitudes específicamente generadas.
Fortinet descubrió esta vulnerabilidad rastreada como CVE-2022-42475 a mediados de diciembre de 2022. Debido a los casos reportados de su explotación activa en la naturaleza, la empresa lanzó un aviso de seguridad compartiendo recomendaciones para validar el sistema contra la lista de Indicadores de Compromiso (IOC) proporcionados. La empresa de seguridad de redes también lanzó parches relevantes al corregir el error en la versión 7.2.3 de FortiOS y emitió una firma para IPS para que los clientes del proveedor pudieran proteger sus entornos.
Sin embargo, el 1 de enero de 2023, Fortinet publicó un seguimiento detallando que los adversarios explotaron CVE-2022-42475 para aprovechar instancias comprometidas de FortiOS para propagar malware, que resultó ser una versión troyanizada del motor IPS. Los investigadores de la empresa admitieron que los intentos de explotación fueron realizados por adversarios sofisticados que buscaban lanzar ataques dirigidos contra organizaciones afiliadas al gobierno.
En la campaña en curso, los actores de amenazas han aprovechado técnicas avanzadas para mantener la persistencia y evadir la detección, lo cual contribuye a la complejidad general del ataque. La explotación de la vulnerabilidad permite a los atacantes desplegar las muestras maliciosas que manipulan archivos de registro y son capaces de destruir los procesos de registro de FortiOS. Según la investigación de Fortinet, el objetivo final de los hackers era propagar el implante personalizado de Linux para desactivar las capacidades antimalware de la IPS de los dispositivos objetivo y conectarse a un servidor remoto que fomenta la entrega de más cargas útiles y permite la ejecución de comandos.
Los ataques altamente sofisticados que implican un profundo conocimiento del entorno FortiOS, el uso de implantes genéricos y técnicas de ingeniería inversa apuntan a la suposición de que los actores de amenazas vinculados a esta campaña poseen capacidades avanzadas y representan un desafío para los defensores cibernéticos. Para identificar la actividad maliciosa asociada con amenazas persistentes avanzadas, sumérgete en el repositorio de contenido de detección de SOC Prime que agrega más de 900 reglas para herramientas y ataques relacionados con APT. Obtén más de 200 de forma gratuita en https://socprime.com/ o accede a todas las reglas bajo demanda en https://my.socprime.com/pricing.
