Hackere lægger Linux-implantat på Fortinet-netværkssikkerhedsenheder

Udnyttelsen giver hackere mulighed for eksternt at udføre vilkårlig kode og kommandoer uden godkendelse.

I december afslørede netværkssikkerhedsleverandøren Fortinet, at en kritisk sårbarhed i sit FortiOS-operativsystem blev udnyttet af hackere. I denne uge, efter yderligere analyse, virksomheden frigivet flere detaljer om et sofistikeret malware-implantat, som disse hackere implementerede gennem fejlen.

Baseret på aktuelt tilgængelige oplysninger var det oprindelige nul-dages angreb meget målrettet mod regeringsrelaterede enheder. Men da sårbarheden har været kendt i over en måned, alle kunder skal lappe den så hurtigt som muligt, da flere hackere kunne begynde at bruge den.

Fjernudførelse af kode i FortiOS SSL-VPN

Sårbarheden, sporet som CVE-2022-42475, er i SSL-VPN-funktionaliteten i FortiOS og kan udnyttes af hackere uden godkendelse. Vellykket udnyttelse kan resultere i udførelse af vilkårlig kode og kommandoer.

Fortinet vurderede sårbarheden 9.3 (kritisk) på CVSS-skalaen og frigav opdateringer til større varianter af FortiOS, FortiOS-6K7K og FortiProxy, virksomhedens sikre webgateway-produkt. FortiOS kører på virksomhedens FortiGate-netværkssikkerhedsfirewalls og andre apparater.

En løsning for kunder, der ikke umiddelbart kan implementere opdateringerne, er at deaktivere SSL-VPN helt, hvilket kan være svært for organisationer, der er afhængige af denne funktionalitet til at understøtte deres fjern- eller hybridarbejdsmiljøer. Fortinet har også frigivet en IPS -signatur (intrusion prevention system) til detektering af udnyttelsesforsøg samt detektionsregler for det kendte implantat i dets antivirusmotor.

Kunder kan også søge i deres logfiler efter følgende poster, der kan indikere udnyttelsesforsøg:

Logdesc="Application crashed" and msg="[...] application:sslvpnd,[...], Signal 11 received, Backtrace: [...]”

Implantat gemmer sig som trojaniseret version af FortiOS IPS Engine

I angrebet analyseret af Fortinet, hackerne udnyttede sårbarheden og kopierede en trojaniseret version af FortiOS IPS Engine til filsystemet. Dette indikerer, at hackerne er meget dygtige og i stand til at reverse engineering brugerdefinerede FortiOS-komponenter.

Den useriøse version af IPS-motoren blev gemt på filsystemet som /data/lib/libips.bak og er en kopi af den legitime /data/lib/libips.so, men med ødelæggende ændringer. Den useriøse version eksporterer nemlig to legitime funktioner kaldet ips_so_patch_urldb og ips_so_query_interface, der normalt er en del af den legitime libips.so, men kaprer dem for at udføre kode, der er gemt i andre ødelæggende komponenter.

“Hvis libps.bak hedder libips.so i mappen /data/lib, vil den ødelæggende kode blive udført automatisk, da komponenter i FortiOS vil kalde disse eksporterede funktioner,” sagde Fortinet-analytikerne. “Den binære forsøger ikke at vende tilbage til den rene IPS-motorkode, så IPS-funktionaliteten er også kompromitteret.”

Med andre ord, når den skadelige version er udført, fungerer den legitime IPS-funktionalitet ikke længere korrekt. De kaprede funktioner udfører ødelæggende kode, som derefter læser og skriver til en række filer kaldet libiptcp.so, libgif.so, .sslvpnconfigbk og libipudp.so.

Analytikerne var ikke i stand til at gendanne alle disse filer fra det kompromitterede apparat, de analyserede, så den fulde angrebskæde er ikke kendt. De fandt dog en fil kaldet wxd.conf, hvis indhold ligner konfigurationsfilen til en open source reverse proxy, der kan bruges til at udsætte et system bag NAT for internettet.

Analyse af netværkspakkeoptagelser fra apparatet foreslog, at malware tilsluttede to eksterne hackerstyrede servere for at downloade yderligere nyttelast og kommandoer, der skulle udføres. En af serverne var stadig i drift og havde en mappe indeholdende binære filer bygget specielt til forskellige FortiGate-hardwareversioner. Dette gjorde det muligt for forskerne at analysere yderligere filer, som de mener, at hackere udførte på systemerne for at manipulere logningsfunktionaliteten i FortiOS.

Ifølge forskerne:

• Malwaren lapper logningsprocesserne i FortiOS for at manipulere logfiler for at undgå detektion. – /bin/miglogd & /bin/syslogd.
• Det inkluderer forskydninger og opkoder til 27 FortiGate-modeller og versionspar. Malwaren åbner et håndtag til processerne og injicerer data i dem.
• Versioner spænder fra 6.0.5 til 7.2.1.
• Modellerne er FG100F, FG101F, FG200D, FG200E, FG201F, FG240D, FG3H0E, FG5H0E, FG6H1E, FG800D, FGT5HD, FGT60F, FGT80F.
• Malwaren kan manipulere logfiler. Det søger efter elogfiler, som er logfiler over begivenheder i FortiOS. Efter at have dekomprimeret dem i hukommelsen, søger den efter en streng, som hackeren angiver, sletter den og rekonstruerer logfilerne.
• Malwaren kan også dræbe logningsprocesserne.

Forskerne fandt også en prøve på VirusTotal online scanner af en Windows binær, der har kode ligheder med Linux binære fundet på FortiOS. Denne Windows-prøve blev samlet på en maskine i UTC+8-tidszonen, som omfatter Australien, Kina, Rusland, Singapore og andre østasiatiske lande. De selvsignerede certifikater, der blev brugt af hackerne, blev også oprettet mellem kl. 3 og 8 UTC. “Det er svært at drage nogen konklusioner fra dette, da hackere ikke nødvendigvis opererer i kontortiden og ofte vil operere i offerets kontortid for at hjælpe med at tilsløre deres aktivitet med generel netværkstrafik,” siger forskerne.

Fortinet-rådgivningen indeholder mange indikatorer for kompromis, herunder filstier, filhashes, IP-adresser og endda signaturer til at opdage ødelæggende kommunikation ved hjælp af dette implantat inde i netværkspakkeoptagelser.

Kilde: CSO

Foto: Pexels