Egy ismeretlen fenyegetési csoport a Fortinet FortiOS szoftver új nulladik napi (zero day) biztonsági hibájának kihasználásával vett célba kormányzati és egyéb nagy szervezeteket. A sérülékenység kihasználása adatvesztést, valamint fájlok és az operációs rendszer sérülését eredményezheti a célrendszeren.
A sérülékenység nyilvánosságra kerülésére néhány nappal azután került sor, miután a Fortinet kiadott egy biztonsági frissítőcsomagot, amelyben 15 sebezhetőség került javításra, köztük a CVE-2022-41328 és a kritikus besorolású puffertúlcsordulási hiba (CVE-2023-25610, CVSS pontszám: 9,3), ami a FortiOS-t és a FortiProxy-t érinti.
A szóban forgó nulladik napi sérülékenység a CVE-2022-41328 (CVSS3 pontszám: 6,5) egy közepes besorolású útvonalelérési hiba, aminek kihasználása tetszőleges kódfuttatáshoz vezethet. A sérülékenység a FortiOS 6.0, 6.4.0-tól a 6.4.11-ig, a 7.0.0-tól a 7.0.9-ig és a 7.2.0-tól a 7.2.3-ig terjedő verziókat érinti, a javítások pedig a 6.4.12, a 7.0.10 és 7.2.4-es verziókban érhető el. A vonatkozó sérülékenységleírás elérhető az NBSZ NKI weboldalán.
A cég elmondása szerint egyik ügyfele „hirtelen rendszerleállást és azt követő rendszerindítási hibákat” tapasztalt. Az incidens további elemzése feltárta, hogy a támadók úgy módosították a sérülékeny eszköz firmware image-ét, hogy az egy új payload-ot („/bin/fgfm”) tartalmazzon, így az futtatásra kerül még a rendszerindítási folyamat előtt. A rosszindulatú program célja, hogy fájlokat töltsön le egy távoli szerverről, illetve, hogy adatokat nyerjen ki a célrendszerről, valamint biztosítsa az elkövetők folyamatos hozzáférését egy távoli shell kapcsolat segítségével.
A Fortinet szerint célzott támadásról lehet szó, tekintettel a támadásban érintett szervezetekre és a támadás összetettségére, amelyből feltételezhető, hogy a támadók jól ismerik a FortiOS-t és a mögötte lévő hardvereket.