Detecção CVE-2022-42475: Vulnerabilidade Zero-Day em FortiOS SSL-VPN Explorada em Ataques contra Entidades Governamentais e Grandes Organizações
Índice:
Fique alerta! Pesquisadores de segurança estão alertando a comunidade global de defesa cibernética sobre uma vulnerabilidade de dia zero no FortiOS SSL-VPN, que foi corrigida em dezembro de 2022. A falha de segurança, rastreada como CVE-2022-42475 e resultando em execução remota de código (RCE) não autenticada, foi explorada em ataques direcionados contra agências governamentais e grandes organizações ao redor do mundo.
Detectar CVE-2022-42475: Vulnerabilidade crítica de estouro de buffer de heap resultando em execução remota de código não autenticada
Diante de um número crescente de ataques explorando ativamente essa vulnerabilidade para atacar organizações governamentais, a detecção oportuna e a defesa cibernética proativa são críticas para proteger a infraestrutura pública de possíveis intrusões. Para não deixar chance para que os atacantes passem despercebidos, a plataforma Detection as Code da SOC Prime oferece um lote de regras Sigma dedicadas para detectar tentativas de exploração do CVE-2022-42475.
Esta regra foi desenvolvida pela equipe SOC Prime para identificar padrões de exploração do estouro de buffer crítico em heap no FortiOS SSL-VPN relacionado a ataques direcionados contra instituições governamentais. A detecção é compatível com 16 soluções SIEM, EDR e XDR e está alinhada com o framework MITRE ATT&CK® v12 abordando as táticas de Acesso Inicial com Exploitar Aplicações Expostas (T1190) como técnica correspondente.
Acima está outra regra Sigma da equipe SOC Prime para identificar indicadores de exploração para CVE-2022-42475. A detecção é acompanhada por traduções para 14 formatos SIEM, EDR e XDR e alinhada com o MITRE ATT&CK abordando as táticas de Acesso Inicial e Escalada de Privilégios com Exploitar Aplicações Expostas (T1190) e Exploração para Escalada de Privilégios (T1068) como técnicas correspondentes.
Mais de 750 regras Sigma para vulnerabilidades emergentes estão à disposição! Clique no Explore Detections botão para acessar instantaneamente o conteúdo relevante de detecção de ameaças, links CTI correspondentes, referências ATT&CK, ideias de caça a ameaças e orientação de engenharia de detecção.
Análise do CVE-2022-42475
De acordo com o último relatório de Inovação em Detecção como Código da SOC Prime, a exploração proativa de vulnerabilidades figura entre as principais prioridades de conteúdo de detecção de 2021-2022. Na virada de 2023, os agentes de ameaça não diminuem suas tentativas de aproveitar-se de falhas de segurança.
Pesquisadores da Fortinet recentemente relataram que adversários desconhecidos exploraram uma vulnerabilidade de dia zero no FortiOS, corrigida no mês passado, para atacar órgãos estatais e grandes organizações. A vulnerabilidade identificada no FortiOS SSL-VPN (CVE-2022-42475) utilizada nesses ataques é um bug de estouro de buffer baseado em heap, que permite que hackers executem código remotamente (RCE) e imobilizem sistemas comprometidos por meio de solicitações geradas especificamente.
A Fortinet descobriu essa vulnerabilidade rastreada como CVE-2022-42475 em meados de dezembro de 2022. Devido aos casos relatados de sua exploração ativa em campo, a empresa lançou um aviso de segurança compartilhando recomendações para validar o sistema contra a lista de IOCs fornecidos. A empresa de segurança de rede também lançou patches relevantes corrigindo o bug na versão 7.2.3 do FortiOS e emitiu uma assinatura para IPS para que os clientes do fornecedor pudessem proteger seus ambientes.
No entanto, em 1º de janeiro de 2023, a Fortinet lançou um acompanhamento detalhando que adversários exploraram o CVE-2022-42475 para aproveitar instâncias comprometidas do FortiOS para espalhar malware, que acabou por ser uma versão Trojanizada do Motor IPS. Os pesquisadores da empresa admitiram que as tentativas de exploração foram realizadas por adversários sofisticados visando lançar ataques direcionados contra organizações ligadas ao governo.
Na campanha em andamento, atores de ameaça têm utilizado técnicas avançadas para manter a persistência e evadir a detecção, o que contribui para a complexidade geral do ataque. A exploração da vulnerabilidade permite que os atacantes deixem amostras maliciosas que manipulam arquivos de log e são capazes de destruir os processos de registro do FortiOS. De acordo com a pesquisa da Fortinet, o objetivo final dos hackers era espalhar o implante personalizado do Linux para prejudicar as capacidades anti-malware do IPS dos dispositivos alvo e conectar-se a um servidor remoto promovendo a entrega de mais cargas e permitindo a execução de comandos.
Ataques altamente sofisticados que envolvem um entendimento profundo do ambiente FortiOS, o uso de implantes genéricos e técnicas de engenharia reversa apontam para a suposição de que os agentes de ameaça vinculados a essa campanha possuem capacidades avançadas e representam um desafio para os defensores cibernéticos. Para identificar a atividade maliciosa associada a ameaças persistentes avançadas, explore o repositório de conteúdo de detecção da SOC Prime, que agrega mais de 900 regras para ferramentas e ataques relacionados a APTs. Obtenha mais de 200 gratuitamente em https://socprime.com/ ou acesse todas as regras sob demanda em https://my.socprime.com/pricing.
