Hacker cinesi compromettono 20 mila dispositivi VPN di Fortinet, la vulnerabilità comunicata in ritardo nel 2022

Le autorità olandesi hanno reso noto che un gruppo di hacker apparentemente sponsorizzati dal governo cinese hanno sfruttato una vulnerabilità critica (CVE-2022-42475) per compromettere oltre 20 mila dispositivi VPN di Fortinet in tutto il mondo. Questa vulnerabilità, con un punteggio di gravità di 9,8 su 10, consente l'esecuzione remota di codice dannoso ed è stata risolta da Fortinet il 28 novembre 2022, senza che però ne venisse data comunicazione pubblica fino al 12 dicembre di quell'anno quando la società affermo di aver riscontrato uno sfruttamento della vulnerabilità.

Un mese dopo, l'11 gennaio 2023, la società ha inoltre avvertito che un attore di minaccia stava sfruttando la falla per compromettere i sistemi di organizzazioni governative con un malware avanzato personalizzato. E ancora il mese successivo, i funzionari dell'intelligence olandese hanno avvertito che gli hacker sponsorizzati dal governo cinese avevano sfruttato la vulnerabilità per installare una backdoor denominata "CoatHanger" sui dispositivi Fortigate del Ministero della Difesa olandese.

CoatHanger è un malware progettato specificamente per il sistema operativo FortiOS con la capacità di risiedere in modo permanente sui dispositivi, resistendo anche a riavvii e aggiornamenti del firmware, e sfuggire alle misure di rilevamento tradizionali. L'impatto della violazione allora è risultato essere limitato, ma le autorità olandesi hanno di recente scoperto che la campagna di spionaggio è molto più estesa di quanto inizialmente ritenuto, arrivando ad interessare appunto oltre 20 mila dispositivi.

Secondo le informazioni condivise, gli obiettivi comprendono decine di agenzie governative occidentali, organizzazioni internazionali e aziende del settore della difesa. La vulnerabilità sarebbe inoltre stata sfruttata già due mesi prima che Fortinet la divulgasse, con circa 14.000 server compromessi con la backdoor. Gli hacker cinesi probabilmente hanno ancora accesso ai sistemi di un elevato numero di vittime, dal momento che CoatHanger è estremamente difficile da rilevare e rimuovere.

Al momento non è dato sapere per quale motivo Fortinet non abbia provveduto a comunicare tempestivamente l'esistenza della vulnerabilità (una mancanza di particolare gravità, visti gli sviluppi della situazione) pur con l'emissione dell'aggiornamento di sicurezza. Se da un lato è pur vero che la divulgazione non avrebbe comunque permesso di impedire le compromissioni, è lecito immaginare che avrebbe contribuito ad evitarne altre.