تم استهداف الكيانات الحكومية والمؤسسات الكبيرة من قبل جهة تهديد غير معروفة من خلال استغلال ثغرة أمنية في برنامج Fortinet FortiOS لتؤدي إلى فقدان البيانات ونظام التشغيل وتلف الملفات.
قال الباحثان في Fortinet Guillaume Lovet و Alex Kong في تقرير استشاري الأسبوع الماضي إن "تعقيد الاستغلال يشير إلى جهة فاعلة متقدمة وأنه يستهدف بشكل كبير أهداف حكومية أو ذات صلة بالحكومة".
عيب اليوم الصفري المعني هو CVE-2022-41328 (درجة CVSS: 6.5) ، وهو خطأ اجتياز مسار الأمان المتوسط في FortiOS والذي قد يؤدي إلى تنفيذ تعليمات برمجية عشوائية.
لاحظت الشركة أن "التقييد غير المناسب لاسم المسار على ثغرة أمنية مقيدة للدليل ('مسار اجتياز') [CWE-22] في FortiOS قد يسمح لمهاجم ذي امتيازات بقراءة وكتابة ملفات عشوائية عبر أوامر CLI المصممة.
يؤثر القصور على إصدارات FortiOS 6.0 و 6.2 و 6.4.0 حتى 6.4.11 و 7.0.0 إلى 7.0.9 و 7.2.0 حتى 7.2.3. تتوفر الإصلاحات في الإصدارات 6.4.12 و 7.0.10 و 7.2.4 على التوالي.
يأتي الكشف بعد أيام من إصدار Fortinet للتصحيحات لمعالجة 15 عيبًا أمنيًا ، بما في ذلك CVE-2022-41328 ومشكلة تدفق المخزن المؤقت المستندة إلى كومة والتي تؤثر على FortiOS و FortiProxy (CVE-2023-25610 ، درجة CVSS: 9.3).
وفقًا لشركة Sunnyvale ، فإن العديد من أجهزة FortiGate التابعة لعميل لم يذكر اسمه عانت من "توقف مفاجئ للنظام وفشل لاحق في التمهيد" ، مما يشير إلى وجود خرق للسلامة.
كشف تحليل إضافي للحادث أن الجهات المهددة قامت بتعديل صورة البرنامج الثابت للجهاز لتشمل حمولة جديدة ("/ bin / fgfm") بحيث يتم تشغيلها دائمًا قبل بدء عملية التمهيد.
تم تصميم البرامج الضارة / bin / fgfm لإنشاء اتصال بخادم بعيد لتنزيل الملفات ، واستخراج البيانات من المضيف المخترق ، ومنح الوصول عن بُعد للقشرة.
يُقال إن التغييرات الإضافية التي تم إدخالها على البرنامج الثابت قد وفرت للمهاجم وصولاً وتحكمًا مستمرين ، ناهيك عن تعطيل التحقق من البرامج الثابتة عند بدء التشغيل.
قال فورتينت إن الهجوم كان مستهدفًا بشكل كبير ، مع وجود أدلة تشير إلى منظمات حكومية أو تابعة للحكومة.
نظرًا لتعقيد الثغرة ، يُشتبه في أن المهاجم لديه "فهم عميق لـ FortiOS والأجهزة الأساسية" ويمتلك قدرات متقدمة لعكس هندسة جوانب مختلفة من نظام تشغيل FortiOS.
ليس من الواضح على الفور ما إذا كان لدى الفاعل أي اتصالات بمجموعة اقتحام أخرى لوحظ أنها تستخدم كسلاح لخلل في FortiOS SSL-VPN (CVE-2022-42475) في وقت سابق من شهر يناير لنشر غرسة Linux.