FortiGate a CoatHanger

„Selhání edge zařízení nemusí být vždy otázkou špatného nastavení na straně uživatele, ale často jde o limity samotné implementace. Uzavřený firmware, závislost na cloudové registraci nebo tichá oprava zranitelnosti – to jsou rizikové faktory, které by měl brát v potaz každý správce.“

„Firewall jako brána do sítě není jen o tom, co propustí — ale i o tom, jestli sám není zadními vrátky. Výpadek, zneužití nebo zpožděné aktualizace mohou mít vážné dopady i bez přímého přístupu k datům.“

„Článek nehodnotí značku, ale situaci, kdy se technologická důvěra mění v systémové riziko. Je důležité ukazovat příklady, ze kterých se může infrastruktura poučit.“

„Incident s malwarem CoatHanger není jediný svého druhu — ale ukazuje, jak klíčové je vědět, co zařízení dělá nejen ve chvíli, kdy funguje, ale i když selže.“

„Bezpečnostní zranitelnost CVE-2022-42475 byla aktivně zneužívána v době, kdy ještě nebyla veřejně oznámena. Podle zprávy MIVD byla součástí cíleného kybernetického útoku skupinou napojenou na čínský stát.“

Chyba byla přímo ve FortiOS, tedy v softwaru FortiGate zařízení.

Nešlo o špatnou konfiguraci, ale o kritickou zranitelnost, kterou Fortinet sice opravil, ale neoznámil včas, což umožnilo čínským státním hackerům provést masivní útok.

🧨 Co se přesně stalo?

• V roce 2022–2023 byla objevena zranitelnost CVE-2022-42475 → heap-based buffer overflow v SSL-VPN komponentě FortiOS → umožnila vzdálené spuštění kódu bez autentizace
• Podle zprávy nizozemské vojenské rozvědky MIVD z 12. prosince 2023 byla zranitelnost CVE-2022-42475 aktivně zneužívána jako zero-day útok dříve, než ji Fortinet veřejně oznámil.
• Fortinet ji potichu opravil 28. listopadu 2022, ale oznámení vydal až 12. prosince 2022→ během té doby už byla aktivně zneužívána jako zero-day attack
• Během této „tiché fáze“ bylo infikováno přes 14 000 zařízení, celkem pak více než 20 000 FortiGate firewallů po celém světě

🕰️ Jak šly události reálně po sobě

• Podle zprávy nizozemské vojenské rozvědky MIVD z 12. prosince 2023 šlo o čínskou státem podporovanou skupinu, která zneužila zranitelnost k cílenému napadení vládních a obranných sítí.
• Nasadili vlastní malware zvaný CoatHanger, který:
  • se trvale usadil v zařízení (přežije reboot i firmware update)
  • je extrémně těžko detekovatelný
  • umožňuje trvalý vzdálený přístup
• Cílem byly západní vlády, obranný průmysl, mezinárodní organizace → včetně holandského ministerstva obrany, kde se malware dostal do výzkumné sítě

🔍 Byla to chyba implementace?

Ano — šlo o programátorskou chybu v SSL-VPN komponentě FortiOS, konkrétně:

• Nesprávné zpracování paměti → útočník mohl poslat speciálně upravený požadavek
• Fortinet to neoznámil včas, což je u zranitelnosti s kritickým skóre 9.3/10 dost zásadní selhání

🧠 Pro přesnost:

• CVSS v3: 9.3 / 10 → kritická zranitelnost → Kategorie: Remote Code Execution bez autentizace (heap overflow v SSL-VPN daemonu sslvpnd)

⚠️ Co z toho plyne?

• Edge zařízení (firewally, VPN brány) jsou extrémně citlivé → mají přímý kontakt s internetem
• Vendor lock-in a závislost na uzavřeném firmware může být rizikem, pokud výrobce nekomunikuje včas
• Otevřené platformy jako OPNsense nebo pfSense umožňují rychlejší reakci, komunitní audit a transparentnost

CoatHanger malware stále může být aktivní na řadě FortiGate zařízeních po celém světě, a to i přesto, že Fortinet vydal opravu pro zranitelnost CVE-2022-42475 už v listopadu 2022

📊 Stav k dnešku

• Podle nizozemské rozvědky MIVD a AIVD:
  • Malware byl nasazen cíleně na vybraná zařízení (např. ministerstva, obranný průmysl)
  • Počet zařízení s aktivním malwarem není znám, ale pravděpodobně jich je stále mnoho
  • Útočníci si mohou rozšířit přístup kdykoli, protože malware zůstává aktivní

🛡️ Co s tím?

• Pokud máš FortiGate zařízení, které běželo na zranitelných verzích FortiOS (např. 7.0.x, 7.2.x), je nutné:
  • Provést forenzní analýzu – hledat známky kompromitace (např. soubory jako libips.bak, libgif.so, .sslvpnconfigbk)
  • Zvážit úplné přeinstalování zařízení (totální formát všech partitions)
  • Segmentovat síť, aby se malware nemohl šířit dál

odkaz na oficiální advisory:

https://www.fortiguard.com/psirt/FG-IR-22-398

🧨 Proč se ho nelze snadno zbavit?

• Malware přežívá reboot i firmware upgrade → je navržen tak, aby se „zabydlel“ v systému a zůstal i po aktualizaci
• Nejde ho detekovat běžnými CLI příkazy → maskuje se, manipuluje logy, dokonce umí upravit IPS engine knihovny
• Fortinet sám přiznal, že jediný známý způsob odstranění je:
  • „Jediný známý způsob odstranění malwaru CoatHanger je kompletní vymazání zařízení a znovuinstalace s čistou konfigurací.“

🛠️ Jak se dá CoatHanger odstranit?

• 🔥 Formátování storage – ne jen reset, ale totální zápis přes všechna oddílová data
• 🧠 Vyčištění konfiguračních souborů – malware se může schovávat i v záložních config verzích
• 🛡️ Manuální re-konfigurace – nepoužívat staré exporty, které by mohly obsahovat kompromitované části

A ano, i po aktualizaci firmware a restartu zůstal malware aktivní, protože si vytvořil systémově integrované hooky, které upravují vnitřní knihovny FortiOS.

Tento článek slouží jako technické shrnutí bezpečnostních událostí souvisejících s firewally Fortinet. Informace vycházejí z veřejně dostupných zdrojů (např. CVE databáze, bezpečnostní analýzy, zprávy vládních agentur) a mají za cíl informovat odbornou komunitu o rizicích spojených s provozem edge zařízení. Nejedná se o hodnocení značky Fortinet, ale o popis incidentu a jeho technických aspektů. Uvítáme případné upřesnění nebo doplnění od čtenářů či výrobce.

ℹ️ Zdroje: MIVD – Zpráva o zahraničních kybernetických hrozbách, 12. 12. 2023: „Čínská skupina využila zero-day zranitelnost ve FortiOS k trvalému napadení západních sítí.“