Un grave problema di sicurezza è stato individuato nei dispositivi VPN di Fortinet, coinvolti in un'esposizione che ha visto hacker legati al governo cinese prendere il controllo di oltre 20.000 apparecchiature. La vulnerabilità, monitorata come CVE-2022-42475, descrive un sovraccarico del buffer basato su heap che consente l'esecuzione remota di codice malevolo, con una valutazione di gravità di 9.8 su 10.
Il produttore di software per la sicurezza di rete, Fortinet, ha corretto in gran segreto la vulnerabilità il 28 novembre 2022, senza però rivelare la minaccia fino al 12 dicembre dello stesso anno. La comunicazione ufficiale è avvenuta solo dopo aver rilevato un'effettiva compromissione in condizioni reali di utilizzo. Ulteriori avvisi sono stati diramati l'11 gennaio 2023, sottolineando l'uso della vulnerabilità per infettare organizzazioni governative con malware altamente sofisticati.
Il malware, denominato CoatHanger e identificato nei dispositivi Fortigate del Ministero della Difesa olandese, è stato segnalato per la prima volta dai funzionari dell'Olanda nel febbraio scorso come parte di un attacco backdoor avanzato e difficilmente rilevabile, capace di sopravvivere a riavvii del dispositivo o aggiornamenti del firmware.
L'indagine condotta dal Servizio di Intelligence e Sicurezza Militare (MIVD) e dal Servizio Generale di Intelligence e Sicurezza olandese ha indicato che gli hacker di stato cinesi hanno sfruttato questa vulnerabilità critica per infettare più di 20.000 sistemi FortiGate in tutto il mondo, mirando a parecchie agenzie governative occidentali, organizzazioni internazionali e aziende del settore della difesa.
É emerso che l'attacco ha avuto inizio due mesi prima che Fortinet rendesse nota la vulnerabilità, con circa 14.000 server infettati durante questo periodo. Il gruppo di minaccia cinese continua ad avere presumibilmente accesso a un numero elevato di dispositivi a causa della difficoltà di rilevazione e rimozione del CoatHanger.
Il Servizio di Cyber Sicurezza Nazionale olandese, su rivelazione delle indagini del MIVD, ha da allora esteso l'allerta per questa campagna di spionaggio cinese, indicando la probabilità che l'attore stato possa espandere ulteriormente il proprio accesso a centinaia di vittime in tutto il mondo per portare avanti azioni come il furto di dati.
Salta all'occhio dunque la mancata divulgazione tempestiva di Fortinet, dato il livello dell’emergenza. Le divulgazioni sono cruciali in quanto aiutano gli utenti a prioritizzare l'installazione delle patch. Se fosse stato chiarito che il nuovo aggiornamento servisse per la correzione di questa criticità piuttosto che per bug minori, molte organizzazioni avrebbero probabilmente accelerato il processo di aggiornamento. Anche se queste misure non avrebbero impedito tutte le infezioni, è ragionevole pensare che avrebbe potuto fermarne almeno alcune.