Chinesische Hacker nutzen Fortinet Zero-Day aus, um VPN-Anmeldeinformationen zu stehlen

Cybersecurity-Forscher von Volexity berichteten kürzlich, dass ein mit dem Staat verbundenes Bedrohungsszenario aus China eine ungeschlossene Zero-Day-Sicherheitsanfälligkeit im Windows-VPN-Client von Fortinet, FortiClient, ausgenutzt hat, um sensible VPN-Anmeldeinformationen direkt aus dem Speicher zu stehlen.

„BrazenBamboo“, der verdächtige staatlich gesponserte Bedrohungsakteur, wird die Entwicklung von „DEEPDATA“ zugeschrieben, einer modularen Post-Exploitation-Malware für das Windows-Betriebssystem, die Anmeldeinformationen extrahieren, Audio aufzeichnen und Informationen aus verschiedenen Apps sammeln kann.

Volexity verfolgt BrazenBamboo auch als Entwickler anderer Malware-Familien, wie LIGHTSPY und DEEPPOST. Das Unternehmen fügte jedoch hinzu, dass es diese nicht unbedingt mit den Betreibern in Verbindung bringt, die sie nutzen, da es mehrere Benutzer geben könnte.

Während der Analyse der DEEPDATA-Malware-Familie fanden die Sicherheitsforscher heraus, dass das spezialisierte FortiClient-Plugin der Malware die Sicherheitsanfälligkeit ausnutzte, indem es sensible Anmeldeinformationen wie Benutzernamen, Passwörter, Remote-Gateways und Ports extrahierte, die in JSON-Objekten im Prozessspeicher des FortiClient-VPN-Clients gespeichert sind.

Laut Cybersecurity-Experten hängt das DEEPDATA-Framework von einer zentralen dynamischen Linkbibliothek (DLL) ab, „data.dll“, die entwickelt wurde, um bis zu 12 einzigartige Plugins über einen Orchestrator für die Plugin-Ausführung namens „frame.dll“ zu entschlüsseln und auszuführen.

Unter diesen Plugins befindet sich eine neu identifizierte „FortiClient“-DLL, die in der Lage ist, Anmeldeinformationen und Serverinformationen aus dem Prozessspeicher der FortiClient-VPN-Prozesse zu extrahieren.

„Volexity stellte fest, dass das FortiClient-Plugin über eine Bibliothek mit dem Dateinamen msenvico.dll eingebunden war. Dieses Plugin wurde als Ausnutzung einer Zero-Day-Sicherheitsanfälligkeit im Fortinet-VPN-Client unter Windows identifiziert, die es ihm ermöglicht, die Anmeldeinformationen des Benutzers aus dem Speicher des Client-Prozesses zu extrahieren“, schrieben die Sicherheitsforscher Callum Roxan, Charlie Gardner und Paul Rascagneres in einem technischen Blogbeitrag am Freitag.

Die Techniken, die von diesem Plugin angewendet werden, ähneln einer ähnlichen Sicherheitsanfälligkeit, die 2016 entdeckt wurde, bei der Anmeldeinformationen im Speicher basierend auf fest codierten Offsets entdeckt werden konnten.

Volexity bestätigte jedoch, dass die Sicherheitsanfälligkeit von 2024 neu ist und in der FortiClient-Version 7.4.0 vorhanden ist, die zum Zeitpunkt der Entdeckung des Fehlers die neueste Version war.

Das Cybersecurity-Unternehmen meldete die Sicherheitsanfälligkeit zur Offenlegung von Anmeldeinformationen am 18. Juli 2024 an Fortinet, die am 24. Juli 2024 anerkannt wurde. Das Problem bleibt jedoch bis heute ungeschlossen, und es wurde keine CVE zugewiesen.

„Die Analyse von Volexity liefert Beweise dafür, dass BrazenBamboo ein gut ausgestatteter Bedrohungsakteur ist, der plattformübergreifende Fähigkeiten mit operativer Langlebigkeit aufrechterhält. Die Breite und Reife ihrer Fähigkeiten deutet sowohl auf eine fähige Entwicklungsfunktion als auch auf operationale Anforderungen hin, die die Entwicklungsergebnisse vorantreiben“, merkt das Cybersecurity-Unternehmen an.

Neben DEEPDATA hat BrazenBamboo auch DEEPPOST entwickelt, ein Post-Exploitation-Datenexfiltrationstool zum Senden von Dateien an ein entferntes System über HTTPS.

DEEPDATA und DEEPPOST, zusammen mit LIGHTSPY, einer plattformübergreifenden Malware-Familie, die mehrere Betriebssysteme, einschließlich iOS und Windows, angreift, zeigen die fortschrittlichen und leistungsstarken Cyber-Spionagefähigkeiten des Bedrohungsakteurs und das Risiko, das ungeschützte Systeme und sensible Benutzerdaten darstellen.

Bis Fortinet die gemeldete Sicherheitsanfälligkeit offiziell anerkennt und ein Sicherheitsupdate bereitstellt, ist es ratsam, den VPN-Zugang zu beschränken und die Anmeldeaktivitäten auf Unregelmäßigkeiten zu überwachen.

Organisationen, die auf Fortinet-Lösungen angewiesen sind, werden ermutigt, wachsam zu bleiben, da der Fehler sensible Anmeldeinformationen gefährden könnte.