Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

FortiOS SSL-VPN: la vulnerabilità 0-day sfruttata dagli hacker cinesi

Redazione RHC : 24 Gennaio 2023 07:03

Lo scorso autunno, gli hacker cinesi hanno utilizzato una vulnerabilità in FortiOS SSL-VPN come attacco 0-day contro le agenzie governative europee e contro un fornitore di servizi gestiti (MSP) senza nome in Africa.

Gli specialisti di Mandiant hanno affermato che gli aggressori hanno sfruttato la vulnerabilità CVE-2022-42475 (un di heap buffer overflow in FortiOS sslvpnd) che consente l’esecuzione di codice in modalità remota su dispositivi vulnerabili senza autenticazione.

Gli ingegneri di Fortinet hanno risolto il bug il 28 novembre 2022, rilasciando FortiOS 7.2.3, ma poi non hanno pubblicato alcuna informazione che la vulnerabilità fosse 0-day e fosse già sfruttata dagli hacker


Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber

«Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi». Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca. Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare. Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura.

Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]



Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


Successivamente Fortinet ha rilasciato il bollettino di sicurezza FG-IR-22-398, avvertendo pubblicamente i clienti che la vulnerabilità veniva sfruttata attivamente e che tutti dovevano installare gli aggiornamenti il ​​prima possibile per correggere il bug.

Gli analisti di Mandiant ora riferiscono che la vulnerabilità è stata utilizzata negli attacchi dall’ottobre 2022. Gli aggressori hanno cercato di compromettere i dispositivi vulnerabili utilizzando uno speciale malware per FortiOS, che, tra le altre cose, ha interferito con i processi di registrazione eliminando determinate voci o disabilitando completamente la registrazione in FortiOS.

Nel loro rapporto, i ricercatori descrivono il malware come Boldmove, in modo molto dettagliato. Il malware è una backdoor completa scritta in C che consente di assumere il controllo del dispositivo e la versione Linux del malware è specificamente progettata per funzionare sui dispositivi FortiOS.

I comandi supportati da Boldmove ti consentono di gestire da remoto file, eseguire comandi, creare shell interattive e controllare la backdoor. Le versioni Windows e Linux sono fondamentalmente le stesse ma utilizzano librerie diverse e Mandiant ritiene che la versione Windows sia stata compilata nel 2021, quasi un anno prima della versione Linux.

Gli esperti hanno trovato diverse versioni di Boldmove con capacità diverse, ma tutti questi campioni erano uniti da un unico set di funzioni di base:

  • implementazione della sorveglianza del sistema;
  • ricevere comandi dal server di controllo;
  • creare una shell remota sull’host;
  • inoltro del traffico attraverso un dispositivo compromesso.

La differenza più significativa tra le versioni Linux e Windows è che la versione Linux ha funzionalità specificamente mirate per i dispositivi FortiOS. Ad esempio, questa versione consente di modificare i log Fortinet su un sistema compromesso o disabilitare completamente i demoni di registrazione (miglogd e syslogd), il che rende difficile tracciare un attacco effettuato con successo.

Inoltre, questa versione di Boldmove è in grado di inviare richieste ai servizi interni di Fortinet, il che consente agli aggressori di inviare richieste di rete attraverso la rete interna e diffondere l’infezione ad altri dispositivi.

Gli hacker cinesi continueranno a prendere di mira i dispositivi vulnerabili esposti su Internet, come firewall e dispositivi IPS/ISD, perché offrono un facile accesso alla rete, hanno affermato i ricercatori.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Il kernel Linux verso il “vibe coding”? Le regole per l’utilizzo degli assistenti AI sono alle porte
Di Redazione RHC - 26/07/2025

Sasha Levin, sviluppatore di kernel Linux di lunga data, che lavora presso NVIDIA e in precedenza presso Google e Microsoft, ha proposto di aggiungere alla documentazione del kernel regole formali per...

Google trasforma il web in una vetrina per l’AI! Un disastro a breve per l’economia digitale
Di Redazione RHC - 26/07/2025

Google sta trasformando il suo motore di ricerca in una vetrina per l’intelligenza artificiale, e questo potrebbe significare un disastro per l’intera economia digitale. Secondo un nuovo...

Gli Exploit SharePoint sono in corso: aziende e enti nel mirino
Di Sandro Sana - 26/07/2025

Il panorama delle minacce non dorme mai, ma stavolta si è svegliato con il botto. Il 18 luglio 2025, l’azienda di sicurezza Eye Security ha lanciato un allarme che ha subito trovato eco ne...

Operazione Checkmate: colpo grosso delle forze dell’ordine. BlackSuit è stato fermato!
Di Redazione RHC - 25/07/2025

Nel corso di un’operazione internazionale coordinata, denominata “Operation Checkmate”, le forze dell’ordine hanno sferrato un duro colpo al gruppo ransomware BlackSuit (qu...

I Mostri sono stati puniti! GreySkull: 18 condanne e 300 anni di carcere per i pedofili
Di Redazione RHC - 25/07/2025

Il Dipartimento di Giustizia degli Stati Uniti ha segnalato lo smantellamento di quattro piattaforme darknet utilizzate per la distribuzione di materiale pedopornografico. Contemporaneamente, un dicio...