Hackers Chineses Exploraram Zero-Day da Fortinet Para Roubar Credenciais de VPN

Pesquisadores de cibersegurança da Volexity relataram recentemente que um ator de ameaça afiliado ao estado chinês explorou uma vulnerabilidade zero-day não corrigida no cliente VPN para Windows da Fortinet, FortiClient, para roubar credenciais sensíveis de VPN diretamente da memória.

‘BrazenBamboo’, o suspeito ator de ameaça patrocinado pelo estado chinês, é atribuído ao desenvolvimento do ‘DEEPDATA’, um malware modular de pós-exploração para o sistema operacional Windows que pode extrair credenciais, gravar áudio e coletar informações de vários aplicativos.

A Volexity também rastreia BrazenBamboo como o desenvolvedor de outras famílias de malware, como LIGHTSPY e DEEPPOST. No entanto, a empresa acrescentou que não necessariamente os vincula aos operadores que os utilizam, pois pode haver múltiplos usuários.

Durante a análise da família de malware DEEPDATA, os pesquisadores de segurança descobriram que o plugin especializado do FortiClient explorou a vulnerabilidade extraindo credenciais sensíveis, como nomes de usuário, senhas, gateways remotos e portas armazenadas em objetos JSON dentro da memória do processo do cliente VPN FortiClient.

De acordo com especialistas em cibersegurança, o framework DEEPDATA depende de um componente central de biblioteca de link dinâmico (DLL), “data.dll”, que é projetado para descriptografar e executar até 12 plugins exclusivos por meio de um orquestrador para execução de plugins chamado “frame.dll.”

Entre esses plugins está um DLL “FortiClient” recentemente identificado, capaz de extrair credenciais e informações do servidor da memória do processo dos processos VPN FortiClient.

“Volexity descobriu que o plugin FortiClient foi incluído através de uma biblioteca com o nome de arquivo msenvico.dll. Este plugin foi encontrado explorando uma vulnerabilidade zero-day no cliente VPN da Fortinet no Windows que permite extrair as credenciais do usuário da memória do processo do cliente,” escreveram os pesquisadores de segurança Callum Roxan, Charlie Gardner e Paul Rascagneres em um post técnico no blog na sexta-feira.

As técnicas aplicadas por este plugin se assemelham a uma vulnerabilidade semelhante descoberta em 2016, na qual credenciais poderiam ser descobertas na memória com base em offsets codificados.

No entanto, a Volexity confirmou que a vulnerabilidade de 2024 é nova e está presente na versão 7.4.0 do FortiClient, que era a versão mais recente na época da descoberta da falha.

A empresa de cibersegurança relatou a vulnerabilidade de divulgação de credenciais à Fortinet em 18 de julho de 2024, que foi reconhecida em 24 de julho de 2024. No entanto, o problema permanece sem correção até a data, e nenhum CVE foi atribuído a ele.

“A análise da Volexity fornece evidências de que BrazenBamboo é um ator de ameaça bem financiado que mantém capacidades multiplataforma com longevidade operacional. A amplitude e a maturidade de suas capacidades indicam tanto uma função de desenvolvimento capaz quanto requisitos operacionais que impulsionam a produção de desenvolvimento,” observa a empresa de cibersegurança.

Além do DEEPDATA, BrazenBamboo também desenvolveu o DEEPPOST, uma ferramenta de exfiltração de dados de pós-exploração para enviar arquivos a um sistema remoto usando HTTPS.

DEEPDATA e DEEPPOST, juntamente com LIGHTSPY, uma família de malware multiplataforma conhecida por atacar múltiplos sistemas operacionais, incluindo iOS e Windows, demonstram as capacidades avançadas e poderosas de espionagem cibernética do ator de ameaça e o risco que representa para sistemas não corrigidos e dados sensíveis dos usuários.

Até que a Fortinet reconheça oficialmente a vulnerabilidade relatada e lance um patch de segurança, é aconselhável limitar o acesso à VPN e monitorar a atividade de login para quaisquer irregularidades.

Organizações que dependem de soluções da Fortinet são incentivadas a permanecer vigilantes, pois a falha pode expor credenciais sensíveis se explorada.