Ataque zero-day na VPN da Fortinet
19 de Novembro de 2024

Atores de ameaças chineses utilizam um toolkit de pós-exploração personalizado chamado 'DeepData' para explorar uma vulnerabilidade zero-day no cliente VPN Windows da Fortinet, o FortiClient, de forma a roubar credenciais.

A zero-day permite aos atores de ameaças extrair as credenciais da memória após o usuário se autenticar com o dispositivo VPN.

Pesquisadores da Volexity relatam que descobriram essa falha no início deste verão e reportaram-na à Fortinet, mas o problema permanece sem solução, e nenhum número CVE foi atribuído a ela.

"A Volexity reportou essa vulnerabilidade à Fortinet em 18 de julho de 2024, e a Fortinet reconheceu o problema em 24 de julho de 2024", explica o relatório.

No momento deste relatório, essa questão permanece sem resolução e a Volexity não tem conhecimento de um número CVE atribuído.

Os ataques são conduzidos por hackers chineses chamados "BrazenBamboo", conhecidos por desenvolver e implantar famílias de malware avançadas que visam sistemas Windows, macOS, iOS e Android em operações de vigilância.

A Volexity explica que os atores de ameaças utilizam numerosos malwares como parte de seus ataques, incluindo os malwares LightSpy e DeepPost.

LightSpy é um spyware multiplataforma para coleta de dados, keylogging, roubo de credenciais de navegador e monitoramento de comunicações.

O malware DeepPost é usado para roubar dados de dispositivos comprometidos.

O relatório da Volexity foca no DeepData, uma ferramenta modular de pós-exploração para Windows, que emprega múltiplos plugins para roubo de dados específicos.

Sua última versão, avistada no último verão, DeepData inclui um plugin FortiClient que explora uma vulnerabilidade zero-day no produto para extrair credenciais (nomes de usuário, senhas) e informações de servidor VPN.

O DeepData localiza e descriptografa objetos JSON na memória do processo do FortiClient onde as credenciais persistem e as exfiltra para o servidor do atacante usando o DeepPost.

Ao comprometer contas VPN, o BrazenBamboo pode obter acesso inicial a redes corporativas, onde então podem se espalhar lateralmente, obter acesso a sistemas sensíveis e, de modo geral, expandir campanhas de espionagem.

A Volexity descobriu que o DeepData aproveita o zero-day no FortiClient em meados de julho de 2024 e encontrou que é similar a uma falha de 2016 (também sem um CVE), onde offsets de memória hardcoded expuseram credenciais.

Entretanto, a vulnerabilidade de 2024 é nova e distinta e funciona apenas nas versões mais recentes, incluindo a última, v7.4.0, indicando que provavelmente está vinculada a mudanças recentes no software.

A Volexity explica que o problema é a falha do FortiClient em limpar informações sensíveis de sua memória, incluindo nome de usuário, senha, gateway VPN e porta, que permanecem em objetos JSON na memória.

Até que a Fortinet confirme a falha e libere um patch de correção, recomenda-se restringir o acesso VPN e monitorar por atividades de login incomuns.

Indicadores de comprometimento associados à última campanha do BrazenBamboo estão disponíveis aqui.

Publicidade

Black November Solyd 2024

Em nenhum outro momento você conseguirá pagar tão pouco em um treinamento e certificação Solyd. A Solyd não te oferece um simples curso online. Mas sim uma experiência completa de aulas com três profissionais que vivem e trabalham como um hacker 24 horas por dia, que se dedicam durante todo ano a tirar seus sonhos de criança do papel. Ter algo desse nível era impossível há apenas 10 anos atrás, e hoje conseguimos entregar o melhor programa de educação em hacking do mundo. O melhor dia para começar sempre foi HOJE. Saiba mais...