Un acteur suspecté d’être lié à la Chine a exploité une vulnérabilité récemment corrigée dans Fortinet FortiOS SSL-VPN en tant qu’attaques zero-day ciblant une entité gouvernementale européenne et un fournisseur de services gérés (MSP) situés en Afrique.
Les preuves télémétriques recueillies par Mandiant, propriété de Google, indiquent que l’exploitation s’est produite dès octobre 2022, au moins près de deux mois avant la publication des correctifs.
« Cet incident perpétue le modèle chinois d’exploitation des appareils connectés à Internet, en particulier ceux utilisés à des fins de sécurité gérée (par exemple, pare-feu, appliances IPS \ IDS, etc.) », ont déclaré les chercheurs de Mandiant dans un rapport technique.
Les attaques impliquaient l’utilisation d’une porte dérobée sophistiquée baptisée BOLDMOVE, dont une variante Linux est spécifiquement conçue pour fonctionner sur les pare-feu FortiGate de Fortinet.
Le vecteur d’intrusion en question concerne l’exploitation de CVE-2022-42475, une vulnérabilité de débordement de tampon basée sur le tas dans FortiOS SSL-VPN qui pourrait entraîner l’exécution de code à distance non authentifié via des requêtes spécialement conçues.
Plus tôt ce mois-ci, Fortinet a révélé que des groupes de piratage inconnus ont profité de l’insuffisance pour cibler les gouvernements et d’autres grandes organisations avec un implant Linux générique capable de fournir des charges utiles supplémentaires et d’exécuter des commandes envoyées par un serveur distant.
Les dernières découvertes de Mandiant indiquent que l’acteur de la menace a réussi à abuser de la vulnérabilité comme un jour zéro à son avantage et à violer des réseaux ciblés pour des opérations d’espionnage.
« Avec BOLDMOVE, les attaquants ont non seulement développé un exploit, mais aussi un malware qui montre une compréhension approfondie des systèmes, des services, de la journalisation et des formats propriétaires non documentés », a déclaré la société de renseignement sur les menaces.
Le malware, écrit en C, aurait à la fois des variantes Windows et Linux, cette dernière étant capable de lire des données à partir d’un format de fichier propriétaire de Fortinet. L’analyse des métadonnées de la saveur Windows de la porte dérobée montre qu’elles ont été compilées dès 2021, bien qu’aucun échantillon n’ait été détecté dans la nature.
BOLDMOVE est conçu pour effectuer une enquête sur le système et est capable de recevoir des commandes d’un serveur de commande et de contrôle (C2) qui, à son tour, permet aux attaquants d’effectuer des opérations sur les fichiers, de créer un shell distant et de relayer le trafic via l’hôte infecté.
Un échantillon Linux étendu du malware est livré avec des fonctionnalités supplémentaires pour désactiver et manipuler les fonctionnalités de journalisation dans le but d’éviter la détection, corroborant le rapport de Fortinet.
« L’exploitation des vulnérabilités zero-day dans les dispositifs de mise en réseau, suivie de l’installation d’implants personnalisés, est cohérente avec l’exploitation chinoise précédente des dispositifs de mise en réseau », a noté Mandiant.