Piratas informáticos estatales de China han logrado infectar más de 20.000 dispositivos VPN vendidos por Fortinet, aprovechando una vulnerabilidad crítica no divulgada durante semanas, según informaron funcionarios del Servicio de Seguridad e Inteligencia Militar (MIVD) y del Servicio de Seguridad e Inteligencia General de los Países Bajos, así fue reportado por el medio Ars Technica.
La vulnerabilidad, etiquetada como CVE-2022-42475, es un desbordamiento de búfer basado en montón que permite la ejecución remota de código malicioso. Esta falla, con una calificación de severidad de 9,8 sobre 10, fue corregida por Fortinet el 28 de noviembre de 2022, aunque la empresa no dio a conocer la amenaza hasta el 12 de diciembre del mismo año. Para entonces, se había detectado un “caso en el que esta vulnerabilidad fue explotada en la naturaleza”.
Los funcionarios holandeses informaron por primera vez en febrero que la vulnerabilidad fue utilizada por piratas informáticos chinos para instalar una puerta trasera avanzada en dispositivos Fortigate dentro del Ministerio de Defensa. El malware, conocido como CoatHanger, está diseñado para permanecer en los dispositivos FortiGate y evadir las medidas tradicionales de detección, incluso tras reinicios o actualizaciones de firmware.
El MIVD y el Centro Nacional de Seguridad Cibernética de los Países Bajos mencionaron el lunes que la campaña de ciberespionaje chino es mucho más extensa de lo inicialmente estimado. “Desde entonces, el MIVD ha llevado a cabo más investigaciones y ha demostrado que la campaña de ciberespionaje chino parece ser mucho más extensa de lo que se sabía anteriormente”, subrayaron. Indicaron que la explotación comenzó dos meses antes de la revelación de Fortinet, afectando a 14.000 servidores durante el período de “día cero”.
La advertencia se dirige a agencias gubernamentales occidentales, organizaciones internacionales y empresas del sector defensa, todas las cuales han sido infectadas. Fortinet advirtió el 11 de enero de 2023 sobre la explotación de esta vulnerabilidad por un atacante desconocido que instalaba malware avanzado. Sin embargo, la falta de divulgación oportuna ha suscitado críticas por la gravedad del riesgo. Los funcionarios holandeses añadieron que, aunque la infección se contuvo en un segmento reservado para usos no clasificados, CoatHanger ha demostrado ser resistente a las medidas de eliminación convencionales.
Los dispositivos FortiGate afectados dan al actor estatal acceso permanente, incluso después de aplicar parches de seguridad. “No se sabe cuántas víctimas tienen realmente malware instalado. Los servicios de inteligencia holandeses y el NCSC consideran probable que el actor estatal pueda potencialmente ampliar su acceso a cientos de víctimas en todo el mundo y llevar a cabo acciones adicionales como el robo de datos,” destacaron.
La falta de transparencia de Fortinet respecto a su política de divulgación de vulnerabilidades ha sido particularmente grave. “Las divulgaciones son cruciales porque ayudan a los usuarios a priorizar la instalación de parches. Cuando una nueva versión corrige errores menores, muchas organizaciones suelen esperar para instalarla. Cuando soluciona una vulnerabilidad con una clasificación de gravedad de 9,8, es mucho más probable que aceleren el proceso de actualización”, enfatizaron los informes de seguridad.
El caso subraya la necesidad de una mayor vigilancia en ciberseguridad y la cooperación internacional para abordar las amenazas de ciberespionaje a gran escala. Fortinet ha declinado hacer comentarios sobre su demora en revelar la vulnerabilidad y no ha especificado si ha revisado su política de divulgación.
Los informes de seguridad de los Países Bajos continúan proporcionando actualizaciones y alertas sobre esta situación, instando a todas las organizaciones a revisar y reforzar sus medidas de seguridad para contrarrestar estas amenazas complejas y persistentes.