/https://www.html.it/app/uploads/2024/11/hacker-cinesi-vpn.jpg "Hacker cinesi sfruttano una falla zero-day di FortiClient VPN")
Un gruppo di hacker cinesi, noto come BrazenBamboo, sta sfruttando una vulnerabilità zero-day nel client VPN FortiClient per Windows al fine di rubare credenziali sensibili. La falla consente agli attaccanti di estrarre informazioni come username e password direttamente dalla memoria del dispositivo una volta che l’utente si è autenticato.
La vulnerabilità è stata scoperta dai ricercatori di Volexity nell’estate del 2024. Nonostante la segnalazione effettuata a Fortinet il 18 luglio 2024 e il successivo riconoscimento del problema da parte dell’azienda il 24 luglio, non è stata ancora sviluppata una patch correttiva e non è stato assegnato alcun codice CVE alla falla.
Gli attacchi mirano a sottrarre credenziali VPN per ottenere accesso iniziale alle reti aziendali, consentendo successivamente ai criminali informatici di spostarsi lateralmente all’interno della rete e compromettere sistemi sensibili. Il gruppo utilizza diversi malware sofisticati, tra cui LightSpy e DeepPost, per svolgere attività di spionaggio come la raccolta di dati, il keylogging e il furto di credenziali dei browser.
Il ruolo di DeepData in queste operazioni
Un ruolo centrale è svolto da DeepData, un toolkit modulare per Windows che sfrutta plugin specifici per il furto di informazioni. La versione più recente di DeepData, osservata da Volexity, include un plugin progettato per sfruttare la vulnerabilità di FortiClient.
Questo strumento individua oggetti JSON nella memoria del processo di FortiClient, dove sono memorizzate credenziali e configurazioni VPN, e invia queste informazioni a server controllati dagli hacker utilizzando il malware DeepPost.
Secondo Volexity, la vulnerabilità zero-day riscontrata su FortiClient è legata a modifiche recenti al software e colpisce anche l’ultima versione, la 7.4.0. Il problema risiede nella mancata cancellazione dalla memoria di informazioni sensibili, come username, password, gateway VPN e porta, che restano memorizzate in oggetti JSON. In attesa di una correzione da parte di Fortinet, si consiglia di limitare l’accesso VPN e monitorare eventuali attività di login sospette per prevenire potenziali compromissioni.
/https://www.html.it/app/uploads/2024/11/truffe-qr-code-.jpg)
/https://www.html.it/app/uploads/2024/11/IPTV_______.jpg)
/https://www.html.it/app/uploads/2024/11/t-mobile-.jpg)
/https://www.html.it/app/uploads/2024/11/cybersecurity-ai.jpg)