A Fortinet arra hívja fel a figyelmet, hogy a FortiOS SSL-VPN termékét érintő, nemrég befoltozott sérülékenységet (CVE-2022-42475) támadók célzottan kormányzati szervezetek elleni támadások során használták ki.
A biztonsági hibát még 2022. dcember 12-én hozták nyilvánosságra, a cég már ekkor jelezte, hogy a sebezhetőséget aktívan kihasználják, és a hibajavítás mellett már akkor is tett közzé támadásra utaló indikátorokat (IoC).
A Fortinet most ezzel kapcsolatban bővebb információkat közölt, köztük a támadások során használt káros kód mintával, ami egy általános Linux malware FortiOS-re optimalizált változata.
Habár a payloadok egy részét a Fortinet elemzői nem voltak képesek visszaállítani, az elemzések alapján a támadók parancsokat próbáltak végrehajtani, további rosszindulatú összetevőket letölteni a feltört rendszerekre, és manipulálni a FortiOS naplózási funkcióit.
Nem ritka, hogy a rosszindulatú szereplők a Fortinet termékek sebezhetőségeit használják ki, a gyártó pedig korábban jelezte, hogy egyes ügyfeleik túl későn telepítik a biztonsági frissítéseket, még az aktívan kihasznált sebezhetőségek esetében is.
A cég IoC-kat is tartalmazó elemzése itt érhető el.
