Rilevamento CVE-2022-42475: Vulnerabilità Zero-Day in FortiOS SSL-VPN sfruttata in attacchi contro enti governativi e grandi organizzazioni

Resta allerta! I ricercatori di sicurezza stanno avvertendo la comunità globale di difensori cibernetici su una vulnerabilità zero-day in FortiOS SSL-VPN, che è stata corretta a dicembre 2022. Il difetto di sicurezza, tracciato come CVE-2022-42475 e che ha portato all’esecuzione di codice remoto non autenticato (RCE), è stato sfruttato in attacchi mirati contro agenzie governative e grandi organizzazioni in tutto il mondo. 

Rileva CVE-2022-42475: Vulnerabilità critica di Overflow del Buffer Heap risultante in Esecuzione di Codice Remoto Non Autenticato

In vista di un numero crescente di attacchi che sfruttano attivamente questa vulnerabilità per prendere di mira le organizzazioni governative, la rilevazione tempestiva e la difesa cibernetica proattiva sono fondamentali per proteggere le infrastrutture pubbliche da possibili intrusioni. Per non lasciare alcuna possibilità agli attaccanti di passare inosservati, la piattaforma Detection as Code di SOC Prime offre una serie di regole Sigma dedicate alla rilevazione dei tentativi di sfruttamento del CVE-2022-42475. 

FortiOS – Indicatori di Exploit di Overflow del Buffer Basato su Heap in sslvpnd [CVE-2022-42475] (tramite web)

Questa regola è stata sviluppata dal team di SOC Prime per identificare i modelli di sfruttamento del critico overflow del buffer heap in FortiOS SSL-VPN relativo ad attacchi mirati contro istituzioni governative. La rilevazione è compatibile con 16 soluzioni SIEM, EDR e XDR e allineata con il quadro di riferimento MITRE ATT&CK® v12 che affronta le tattiche di Accesso Iniziale con Sfruttamento delle Applicazioni Raggiungibili dal Pubblico (T1190) come tecnica corrispondente.

Possibile FortiOS – overflow del buffer basato su heap in sslvpnd indicatori di sfruttamento [CVE-2022-42475]

Sopra c’è un’altra regola Sigma del team SOC Prime per identificare indicatori di sfruttamento per CVE-2022-42475. La rilevazione è accompagnata da traduzioni in 14 formati SIEM, EDR e XDR e allineata con MITRE ATT&CK affrontando le tattiche di Accesso Iniziale e Escalation dei Priviliegi con Sfruttamento delle Applicazioni Raggiungibili dal Pubblico (T1190) e Sfruttamento per Escalation dei Priviliegi (T1068) come tecniche corrispondenti. 

Oltre 750 regole Sigma per vulnerabilità emergenti sono a disposizione! Premi il Esplora Rilevazioni pulsante per accedere istantaneamente al contenuto di rilevazione delle minacce pertinente, ai corrispondenti link CTI, ai riferimenti ATT&CK, alle idee di minaccia hunting e alle linee guida di ingegneria della rilevazione. 

Esplora Rilevazioni

Analisi CVE-2022-42475

Secondo l’ultimo rapporto sull’Innovazione di Detection as Code di SOC Prime, lo sfruttamento proattivo delle vulnerabilità è tra le principali priorità del contenuto di rilevazione del 2021-2022. All’inizio del 2023, gli attori delle minacce non rallentano i loro tentativi di sfruttare i difetti di sicurezza. 

I ricercatori Fortinet hanno recentemente riportato che avversari sconosciuti hanno sfruttato una vulnerabilità zero-day di FortiOS corretta il mese scorso per attaccare enti statali e grandi organizzazioni. La vulnerabilità identificata in FortiOS SSL-VPN (CVE-2022-42475), sfruttata in questi attacchi, è uno bug di overflow del buffer basato su heap, che consente agli hacker di eseguire codice remoto (RCE) e compromettere i sistemi compromessi tramite richieste generate specificamente. 

Fortinet ha scoperto questa vulnerabilità tracciata come CVE-2022-42475 a metà dicembre 2022. A causa dei casi segnalati del suo sfruttamento attivo sul campo, la società ha rilasciato un avviso di sicurezza condividendo raccomandazioni per validare il sistema contro l’elenco degli IOCs forniti. La società di sicurezza di rete ha anche rilasciato patch rilevanti correggendo il bug nella versione 7.2.3 di FortiOS e ha emesso una firma per l’IPS in modo che i clienti del fornitore potessero proteggere i loro ambienti.

Tuttavia, il 1° gennaio 2023, Fortinet ha rilasciato un aggiornamento di dettaglio che gli avversari hanno sfruttato il CVE-2022-42475 per trarre vantaggio dalle istanze compromesse di FortiOS per diffondere malware, che si è rivelata essere una versione Trojanizzata del motore IPS. I ricercatori dell’azienda hanno ammesso che i tentativi di sfruttamento sono stati eseguiti da avversari sofisticati mirati a lanciare attacchi mirati contro organizzazioni affiliate al governo. 

Nella campagna in corso, gli attori delle minacce hanno utilizzato tecniche avanzate per mantenere la persistenza ed eludere la rilevazione, contribuendo alla complessità complessiva degli attacchi. Lo sfruttamento della vulnerabilità consente agli attaccanti di rilasciare i campioni malevoli che manipolano i file di log e sono in grado di distruggere i processi di logging di FortiOS. Secondo la ricerca di Fortinet, l’obiettivo finale degli hacker era di diffondere l’impianto Linux personalizzato per indebolire le capacità anti-malware dell’IPS dei dispositivi presi di mira e collegarsi a un server remoto favorendo la consegna di più payload e abilitando l’esecuzione di comandi.

Attacchi altamente sofisticati che coinvolgono una comprensione profonda dell’ambiente FortiOS, l’uso di impianti generici e tecniche di ingegneria inversa indicano l’assunzione che gli attori della minaccia collegati a questa campagna possiedono capacità avanzate e rappresentano una sfida per i difensori cibernetici. Per identificare le attività malevole associate alle minacce persistenti avanzate, esplora l’archivio di contenuti di rilevazione di SOC Prime che aggrega oltre 900 regole per strumenti e attacchi correlati agli APT. Ottieni oltre 200 gratuitamente su https://socprime.com/ o accedi a tutte le regole con On Demand su https://my.socprime.com/pricing.