Gli hacker cinesi sfruttano una vulnerabilità zero-day di Fortinet per rubare le credenziali VPN

I ricercatori di cybersecurity di Volexity hanno recentemente riportato che un attore minaccioso affiliato allo stato cinese ha sfruttato una vulnerabilità zero-day non corretta nel client VPN di Fortinet per Windows, FortiClient, per rubare direttamente dalla memoria le credenziali VPN sensibili.

‘BrazenBamboo,’ il sospetto attore minaccioso sponsorizzato dallo stato cinese, è attribuito allo sviluppo di ‘DEEPDATA,’ un malware modulare post-sfruttamento per il sistema operativo Windows che può estrarre credenziali, registrare audio e raccogliere informazioni da varie app.

Volexity traccia anche BrazenBamboo come sviluppatore di altre famiglie di malware, come LIGHTSPY e DEEPPOST. Tuttavia, l’azienda ha aggiunto che non li collega necessariamente agli operatori che li utilizzano, poiché potrebbero esserci più utenti.

Durante l’analisi della famiglia di malware DEEPDATA, i ricercatori di sicurezza hanno scoperto che il plugin specializzato di FortiClient del malware sfruttava la vulnerabilità estraendo credenziali sensibili come nomi utente, password, gateway remoti e porte memorizzate in oggetti JSON all’interno della memoria del processo del client VPN FortiClient.

Secondo gli esperti di cybersecurity, il framework DEEPDATA dipende da un componente principale della libreria di collegamento dinamico (DLL), “data.dll,” progettato per decrittografare ed eseguire fino a 12 plugin unici tramite un orchestratore per l’esecuzione dei plugin chiamato “frame.dll.”

Tra questi plugin c’è un DLL “FortiClient” recentemente identificato, capace di estrarre credenziali e informazioni sul server dalla memoria del processo dei processi VPN di FortiClient.

“Volexity ha scoperto che il plugin FortiClient era incluso tramite una libreria con il nome file msenvico.dll. Questo plugin è stato trovato per sfruttare una vulnerabilità zero-day nel client VPN di Fortinet su Windows che consente di estrarre le credenziali per l’utente dalla memoria del processo del client,” hanno scritto i ricercatori di sicurezza Callum Roxan, Charlie Gardner e Paul Rascagneres in un post tecnico sul blog venerdì.

Le tecniche applicate da questo plugin somigliano a una vulnerabilità simile scoperta nel 2016, in cui le credenziali potevano essere scoperte in memoria basandosi su offset hardcoded.

Tuttavia, Volexity ha confermato che la vulnerabilità del 2024 è nuova e presente nella versione 7.4.0 di FortiClient, che era l’ultima versione al momento della scoperta del difetto.

La società di cybersecurity ha segnalato la vulnerabilità di divulgazione delle credenziali a Fortinet il 18 luglio 2024, che è stata riconosciuta il 24 luglio 2024. Tuttavia, il problema rimane non corretto fino ad oggi e non è stato assegnato alcun CVE.

“L’analisi di Volexity fornisce prove che BrazenBamboo è un attore minaccioso ben finanziato che mantiene capacità multi-piattaforma con longevità operativa. L’ampiezza e la maturità delle loro capacità indicano sia una funzione di sviluppo capace che requisiti operativi che guidano l’output dello sviluppo,” osserva la società di cybersecurity.

Oltre a DEEPDATA, BrazenBamboo ha anche sviluppato DEEPPOST, uno strumento di esfiltrazione dati post-sfruttamento per inviare file a un sistema remoto utilizzando HTTPS.

DEEPDATA e DEEPPOST, insieme a LIGHTSPY, una famiglia di malware multi-piattaforma nota per colpire più sistemi operativi, tra cui iOS e Windows, mostrano le avanzate e potenti capacità di spionaggio informatico dell’attore minaccioso e il rischio posto a sistemi non corretti e dati sensibili degli utenti.

Fino a quando Fortinet non riconoscerà ufficialmente la vulnerabilità segnalata e non rilascerà una patch di sicurezza, è consigliabile limitare l’accesso VPN e monitorare l’attività di accesso per eventuali irregolarità.

Le organizzazioni che si affidano alle soluzioni Fortinet sono incoraggiate a rimanere vigili, poiché il difetto potrebbe esporre credenziali sensibili se sfruttato.