Sicherheitslücke CVE-2022-42475

Zwischen 2022 und 2023 infiltrierten staatlich geförderte Bedrohungsakteure mit Verbindungen zu China weltweit 20.000 Fortinet FortiGate-Systeme, indem sie eine bekannte kritische Sicherheitslücke ausnutzten. Dieser Verstoß hat weitreichendere Auswirkungen als bisher angenommen.

Der für diese Operation verantwortliche staatliche Akteur war sich der Schwachstelle in FortiGate-Systemen bereits mindestens zwei Monate vor der Offenlegung durch Fortinet bewusst. Während dieses Zeitraums, der als Zero-Day-Fenster bezeichnet wird, konnte der Akteur erfolgreich 14.000 Geräte kompromittieren.

Laut einem gemeinsamen Bericht des niederländischen Militärischen Nachrichten- und Sicherheitsdienstes (MIVD) und des Allgemeinen Nachrichten- und Sicherheitsdienstes (AIVD) Anfang 2024 nutzten chinesische Hacker CVE-2022-42475 aus, eine kritische Schwachstelle für die Remotecodeausführung bei FortiOS/FortiProxy. Über mehrere Monate in den Jahren 2022 und 2023 gelang es den Angreifern, Malware auf anfälligen Fortigate-Netzwerksicherheitsgeräten zu installieren.

Die Angreifer haben den Coathanger RAT auf kompromittierten Geräten installiert

Die bei den Angriffen entdeckte Coathanger Remote Access Trojan (RAT)-Malware wurde auch in einem Netzwerk des niederländischen Verteidigungsministeriums entdeckt, das speziell für Forschung und Entwicklung (F&E) an nicht geheimen Projekten verwendet wird. Glücklicherweise konnten die Angreifer aufgrund der Netzwerksegmentierung daran gehindert werden, andere Systeme zu infiltrieren.

Dieser bisher unbekannte Malware-Typ, der auch nach Systemneustarts und Firmware-Upgrades bestehen bleibt, wurde von einer vom chinesischen Staat gesponserten Hackergruppe in einer politischen Spionagekampagne gegen die Niederlande und ihre Verbündeten eingesetzt. Dadurch erhielt der staatliche Akteur dauerhaften Zugriff auf die kompromittierten Systeme. Selbst mit installierten Sicherheitsupdates von FortiGate behält der staatliche Akteur diesen Zugriff.

Die genaue Zahl der Opfer, auf denen die Malware installiert ist, ist unbekannt. Forscher spekulieren jedoch, dass der staatliche Akteur seinen Zugriff möglicherweise auf Hunderte von Opfern weltweit ausweiten und so weitere Aktionen wie Datendiebstahl ermöglichen könnte.

Die Cyberkriminellen haben möglicherweise immer noch Zugriff auf die gehackten Geräte

Seit Februar ist ans Licht gekommen, dass sich eine chinesische Bedrohungsgruppe zwischen 2022 und 2023 über einen Zeitraum von mehreren Monaten – mindestens zwei Monate bevor Fortinet die Schwachstelle CVE-2022-42475 offenlegte – Zugriff auf mehr als 20.000 FortiGate-Systeme weltweit verschafft hat.

Das MIVD geht davon aus, dass chinesische Hacker wahrscheinlich Zugriff auf zahlreiche Opfer haben, da die Coathanger-Malware der Entdeckung durch das Abfangen von Systemaufrufen entgeht, wodurch ihre Präsenz schwer zu identifizieren ist. Darüber hinaus ist sie widerstandsfähig gegen Entfernung und überlebt Firmware-Upgrades. CVE-2022-42475 wurde als Zero-Day-Schwachstelle ausgenutzt und zielte in erster Linie auf Regierungsorganisationen und verbundene Einrichtungen ab, wie im Januar 2023 bekannt wurde.

Diese Angriffe weisen auffallende Ähnlichkeiten mit einer anderen chinesischen Hackerkampagne auf, bei der es darum ging, ungepatchte SonicWall Secure Mobile Access (SMA)-Geräte auszunutzen. Dabei wurde Cyber-Spionage-Malware eingesetzt, die auch nach Firmware-Upgrades bestehen bleibt.