Los hackers chinos explotan una vulnerabilidad de día cero de Fortinet para robar credenciales de VPN

Los investigadores de ciberseguridad de Volexity informaron recientemente que un actor de amenaza afiliado al estado chino explotó una vulnerabilidad de día cero no parcheada en el cliente VPN de Windows de Fortinet, FortiClient, para robar credenciales sensibles de VPN directamente de la memoria.

‘BrazenBamboo’, el sospechoso actor de amenaza patrocinado por el estado chino, se atribuye el desarrollo de ‘DEEPDATA’, un malware modular de post-explotación para el sistema operativo Windows que puede extraer credenciales, grabar audio y recopilar información de varias aplicaciones.

Volexity también rastrea a BrazenBamboo como el desarrollador de otras familias de malware, como LIGHTSPY y DEEPPOST. Sin embargo, la compañía agregó que no necesariamente los vincula a los operadores que los utilizan, ya que podría haber múltiples usuarios.

Durante el análisis de la familia de malware DEEPDATA, los investigadores de seguridad encontraron que el plugin especializado de FortiClient del malware explotó la vulnerabilidad extrayendo credenciales sensibles como nombres de usuario, contraseñas, puertas de enlace remotas y puertos almacenados en objetos JSON dentro de la memoria del proceso del cliente VPN de FortiClient.

Según los expertos en ciberseguridad, el marco DEEPDATA depende de un componente central de biblioteca de enlace dinámico (DLL), “data.dll”, que está diseñado para descifrar y ejecutar hasta 12 plugins únicos a través de un orquestador para la ejecución de plugins llamado “frame.dll.”

Entre estos plugins se encuentra un DLL “FortiClient” recién identificado, capaz de extraer credenciales e información del servidor de la memoria del proceso de los procesos de FortiClient VPN.

“Volexity encontró que el plugin de FortiClient se incluyó a través de una biblioteca con el nombre de archivo msenvico.dll. Se encontró que este plugin explotaba una vulnerabilidad de día cero en el cliente VPN de Fortinet en Windows que le permite extraer las credenciales del usuario de la memoria del proceso del cliente”, escribieron los investigadores de seguridad Callum Roxan, Charlie Gardner y Paul Rascagneres en una publicación técnica en el blog el viernes.

Las técnicas aplicadas por este plugin se asemejan a una vulnerabilidad similar descubierta en 2016, en la que las credenciales podían ser descubiertas en la memoria basándose en desplazamientos codificados.

Sin embargo, Volexity confirmó que la vulnerabilidad de 2024 es nueva y está presente en la versión 7.4.0 de FortiClient, que era la última versión en el momento del descubrimiento de la falla.

La firma de ciberseguridad informó la vulnerabilidad de divulgación de credenciales a Fortinet el 18 de julio de 2024, que fue reconocida el 24 de julio de 2024. Sin embargo, el problema sigue sin parchearse hasta la fecha, y no se le ha asignado ningún CVE.

“El análisis de Volexity proporciona evidencia de que BrazenBamboo es un actor de amenaza bien financiado que mantiene capacidades multiplataforma con longevidad operativa. La amplitud y madurez de sus capacidades indican tanto una función de desarrollo capaz como requisitos operativos que impulsan la producción de desarrollo”, señala la firma de ciberseguridad.

Además de DEEPDATA, BrazenBamboo también ha desarrollado DEEPPOST, una herramienta de exfiltración de datos de post-explotación para enviar archivos a un sistema remoto utilizando HTTPS.

DEEPDATA y DEEPPOST, junto con LIGHTSPY, una familia de malware multiplataforma conocida por atacar múltiples sistemas operativos, incluidos iOS y Windows, muestran las avanzadas y poderosas capacidades de ciberespionaje del actor de amenaza y el riesgo que representa para los sistemas no parcheados y los datos sensibles de los usuarios.

Hasta que Fortinet reconozca oficialmente la vulnerabilidad reportada y lance un parche de seguridad, se recomienda limitar el acceso a la VPN y monitorear la actividad de inicio de sesión en busca de irregularidades.

Se alienta a las organizaciones que dependen de soluciones de Fortinet a mantenerse alerta, ya que la falla podría exponer credenciales sensibles si se explota.