[ad_1]
Actores de amenazas chinos están utilizando un kit de herramientas de
post-explotación personalizado llamado «DeepData» para explotar una
vulnerabilidad Zero-Day en el cliente VPN de Windows FortiClient de Fortinet,
para robar credenciales.
El Zero-Day permite a los actores de amenazas extraer las credenciales de
la memoria después de que el usuario se autentica con el dispositivo VPN.
Los investigadores de Volexity informan que descubrieron esta falla a
principios de este verano y la informaron a Fortinet, pero el problema sigue
sin solucionarse y no se le ha asignado ningún CVE.
«Volexity informó esta vulnerabilidad a Fortinet el 18 de julio de 2024, y
Fortinet reconoció el problema el 24 de julio de 2024»,
explica el informe.
«Al momento de escribir este artículo, este problema sigue sin resolverse y
Volexity no tiene conocimiento de un número CVE asignado».
Ataques a credenciales de VPN
Los ataques son llevados a cabo por delincuentes informáticos chinos llamados
«BrazenBamboo», conocidos por desarrollar e implementar familias de
malware avanzado que apuntan a sistemas Windows, macOS, iOS y Android en
operaciones de vigilancia.
Volexity explica que los actores de amenazas utilizan numerosos programas
maliciosos como parte de sus ataques, incluidos los programas maliciosos
LightSpy y DeepPost.
LightSpy es un software espía multiplataforma para la recopilación de datos,
el registro de pulsaciones de teclas, el robo de credenciales del navegador y
el monitoreo de las comunicaciones. El malware DeepPost se utiliza para robar
datos de dispositivos comprometidos.
El informe de Volexity se centra en DeepData, una herramienta de
post-explotación modular para Windows, que emplea múltiples complementos para
el robo de datos dirigido.
Su última versión, detectada el verano pasado, DeepData incluye un complemento
FortiClient que explota una vulnerabilidad de día cero en el producto para
extraer credenciales (nombres de usuario, contraseñas) e información del
servidor VPN.
DeepData localiza y descifra objetos JSON en la memoria de proceso de
FortiClient donde persisten las credenciales, y los exfiltra al servidor del
atacante mediante DeepPost.
Al comprometer las cuentas VPN, BrazenBamboo puede obtener acceso inicial a
las redes corporativas, donde luego puede propagarse lateralmente, obtener
acceso a sistemas sensibles y, en general, expandir las campañas de espionaje.
Zero-Day de FortiClient
Volexity descubrió que DeepData aprovecha el día cero de FortiClient a
mediados de julio de 2024 y descubrió que es similar a
una falla de 2016
(también sin un CVE), donde la memoria codificada compensa las credenciales
expuestas.
Sin embargo, la vulnerabilidad de 2024 es nueva y distinta y solo funciona en
versiones recientes, incluida la última, v7.4.0, lo que indica que es probable
que esté vinculada a cambios recientes en el software.
Volexity explica que el problema es que FortiClient no borra la información
confidencial de su memoria, incluido el nombre de usuario, la contraseña, la
puerta de enlace VPN y el puerto, que permanecen en objetos JSON en la
memoria.
Hasta que Fortinet confirme la falla y publique un parche para corregirla, se
recomienda restringir el acceso a VPN y monitorear la actividad de inicio de
sesión inusual.
Los indicadores de vulnerabilidad asociados con la última campaña de
BrazenBamboo están disponibles
aquí.
Fuente:
BC
[ad_2]
Source link
Los comentarios están cerrados.