19 nov 2024

Zero-Day en FortiClient permite robo de credenciales de VPN

Actores de amenazas chinos están utilizando un kit de herramientas de post-explotación personalizado llamado "DeepData" para explotar una vulnerabilidad Zero-Day en el cliente VPN de Windows FortiClient de Fortinet, para robar credenciales.

El Zero-Day permite a los actores de amenazas extraer las credenciales de la memoria después de que el usuario se autentica con el dispositivo VPN. Los investigadores de Volexity informan que descubrieron esta falla a principios de este verano y la informaron a Fortinet, pero el problema sigue sin solucionarse y no se le ha asignado ningún CVE.

"Volexity informó esta vulnerabilidad a Fortinet el 18 de julio de 2024, y Fortinet reconoció el problema el 24 de julio de 2024", explica el informe. "Al momento de escribir este artículo, este problema sigue sin resolverse y Volexity no tiene conocimiento de un número CVE asignado".

Ataques a credenciales de VPN

Los ataques son llevados a cabo por delincuentes informáticos chinos llamados "BrazenBamboo", conocidos por desarrollar e implementar familias de malware avanzado que apuntan a sistemas Windows, macOS, iOS y Android en operaciones de vigilancia.

Volexity explica que los actores de amenazas utilizan numerosos programas maliciosos como parte de sus ataques, incluidos los programas maliciosos LightSpy y DeepPost.

LightSpy es un software espía multiplataforma para la recopilación de datos, el registro de pulsaciones de teclas, el robo de credenciales del navegador y el monitoreo de las comunicaciones. El malware DeepPost se utiliza para robar datos de dispositivos comprometidos.

El informe de Volexity se centra en DeepData, una herramienta de post-explotación modular para Windows, que emplea múltiples complementos para el robo de datos dirigido.

Su última versión, detectada el verano pasado, DeepData incluye un complemento FortiClient que explota una vulnerabilidad de día cero en el producto para extraer credenciales (nombres de usuario, contraseñas) e información del servidor VPN.

DeepData localiza y descifra objetos JSON en la memoria de proceso de FortiClient donde persisten las credenciales, y los exfiltra al servidor del atacante mediante DeepPost.

Al comprometer las cuentas VPN, BrazenBamboo puede obtener acceso inicial a las redes corporativas, donde luego puede propagarse lateralmente, obtener acceso a sistemas sensibles y, en general, expandir las campañas de espionaje.

Zero-Day de FortiClient

Volexity descubrió que DeepData aprovecha el día cero de FortiClient a mediados de julio de 2024 y descubrió que es similar a una falla de 2016 (también sin un CVE), donde la memoria codificada compensa las credenciales expuestas.

Sin embargo, la vulnerabilidad de 2024 es nueva y distinta y solo funciona en versiones recientes, incluida la última, v7.4.0, lo que indica que es probable que esté vinculada a cambios recientes en el software.

Volexity explica que el problema es que FortiClient no borra la información confidencial de su memoria, incluido el nombre de usuario, la contraseña, la puerta de enlace VPN y el puerto, que permanecen en objetos JSON en la memoria.

Hasta que Fortinet confirme la falla y publique un parche para corregirla, se recomienda restringir el acceso a VPN y monitorear la actividad de inicio de sesión inusual.

Los indicadores de vulnerabilidad asociados con la última campaña de BrazenBamboo están disponibles aquí.

Fuente: BC

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!