Cómo persiste Coathanger en los dispositivos FortiGate
En febrero de 2024, el Servicio de Seguridad e Inteligencia Militar holandés (MIVD) y el Servicio de Seguridad e Inteligencia General (AIVD) hicieron saber que los piratas informáticos patrocinados por el estado chino violaron el Ministerio de Defensa holandés en 2023 al explotar un conocido RCE previo a la autenticación de FortiOS. vulnerabilidad (CVE-2022-42475) y utilizó un nuevo malware troyano de acceso remoto para crear una puerta trasera persistente.
La RAT fue apodada Coathanger y se descubrió que era capaz de sobrevivir a reinicios y actualizaciones de firmware. También es difícil detectar su presencia mediante el uso de los comandos CLI de FortiGate y eliminarlo de los dispositivos comprometidos.
Los servicios de seguridad compartieron indicadores de compromiso y una variedad de métodos de detección en un aviso , y explicaron que «la única forma actualmente identificada de eliminarlo de un dispositivo FortiGate infectado implica formatear el dispositivo y reinstalarlo y reconfigurarlo».
También atribuyeron la intrusión y el malware a un grupo de ciberespionaje chino .
Una campaña generalizada
El lunes, el Centro Nacional de Seguridad Cibernética holandés dijo que el MIVD continuó investigando la campaña y descubrió que:
- El actor de amenazas obtuvo acceso a al menos 20.000 sistemas FortiGate en todo el mundo en unos pocos meses, tanto en 2022 como en 2023.
- Explotaron la vulnerabilidad de FortiOS (CVE-2022-42475) como día cero, al menos dos meses antes de que Fortinet lo anunciara
“Durante este período llamado ‘día cero’, solo el actor infectó 14.000 dispositivos. Los objetivos incluyen docenas de gobiernos (occidentales), organizaciones internacionales y un gran número de empresas dentro de la industria de defensa”, dijo el NCSC.
El actor de amenazas instaló el malware Coathanger más tarde en los dispositivos de los objetivos relevantes.
“No se sabe cuántas víctimas tienen realmente malware instalado. Los servicios de inteligencia holandeses y el NCSC consideran probable que el actor estatal pueda potencialmente ampliar su acceso a cientos de víctimas en todo el mundo y llevar a cabo acciones adicionales como el robo de datos”, dijeron , y agregaron que dado el difícil proceso de descubrimiento y limpieza. , “es probable que el actor estatal todavía tenga acceso a los sistemas de un número importante de víctimas”.
Otro problema es que el malware Coathanger se puede utilizar en combinación con cualquier vulnerabilidad presente o futura en los dispositivos FortiGate, ya sea de día cero o N.
Asesoramiento para organizaciones
“Es difícil evitar el compromiso inicial de una red de TI si el atacante utiliza un día cero. Por lo tanto, es importante que las organizaciones apliquen el principio de ‘suponer incumplimiento’”, opinó el NCSC.
“Este principio establece que ya se ha producido o se producirá pronto un ataque digital exitoso. En base a esto, se toman medidas para limitar los daños y el impacto. Esto incluye tomar medidas de mitigación en las áreas de segmentación, detección, planes de respuesta a incidentes y preparación forense”.
(En el ataque dirigido al Ministerio de Defensa holandés, los efectos de la intrusión fueron limitados debido a la eficaz segmentación de la red).
Finalmente, el NCSC señaló que el problema no son específicamente los dispositivos Fortinet, sino los dispositivos “de borde” (firewalls, servidores VPN, enrutadores, servidores SMTP, etc.) en general.
«Los incidentes recientes y las vulnerabilidades identificadas dentro de varios dispositivos de borde muestran que estos productos a menudo no están diseñados de acuerdo con los principios modernos de seguridad por diseño», dijeron. Debido a que casi todas las organizaciones tienen uno o más dispositivos de borde implementados, agregaron, a los actores de amenazas les conviene buscar vulnerabilidades que los afecten.
Por lo tanto, el NCSC ha publicado consejos útiles sobre cómo las organizaciones deben abordar el uso de dispositivos periféricos.
Fuente y redacción: helpnetsecurity.com
