Minggu ini, perusahaan merilis detail lebih lanjut tentang implan malware canggih yang disebarkan oleh penyerang melalui celah tersebut.
Kerentanan, dilacak sebagai CVE-2022-42475, berada dalam fungsionalitas SSL-VPN FortiOS dan dapat dieksploitasi oleh penyerang jarak jauh tanpa autentikasi.
Fortinet memberi peringkat kerentanan 9,3 (Kritis) pada skala CVSS dan merilis pembaruan untuk varian utama FortiOS, FortiOS-6K7K, dan FortiProxy, produk gerbang web aman perusahaan.
Analis tidak dapat memulihkan semua file dari alat yang disusupi yang mereka analisis, sehingga rantai serangan penuh tidak diketahui. Namun, mereka menemukan file bernama wxd.conf yang isinya mirip dengan file konfigurasi untuk reverse proxy open-source yang dapat digunakan untuk mengekspos sistem di belakang NAT ke internet.
Analisis penangkapan paket jaringan dari alat menyarankan malware menghubungkan dua server eksternal yang dikendalikan penyerang untuk mengunduh muatan tambahan dan perintah untuk dieksekusi.
Fortinet juga telah merilis tanda tangan IPS (sistem pencegahan intrusi) untuk mendeteksi upaya eksploit, serta aturan deteksi untuk implan yang dikenal di mesin antivirusnya.
sumber : paulponraj
