Fortinet a révélé que les acteurs malveillants ont trouvé un moyen de maintenir un accès en lecture seule aux appareils FortiGate vulnérables même après que le vecteur d’accès initial utilisé pour violer les appareils a été corrigé.

Les attaquants auraient exploité des failles de sécurité connues et désormais corrigées, notamment, mais sans s’y limiter, CVE-2022-42475 , CVE-2023-27997 et CVE-2024-21762 .

« Un acteur malveillant a exploité une vulnérabilité connue pour mettre en œuvre un accès en lecture seule aux appareils FortiGate vulnérables », a déclaré l’entreprise de sécurité réseau dans un avis publié jeudi. « Ceci a été réalisé en créant un lien symbolique reliant le système de fichiers utilisateur et le système de fichiers racine dans un dossier utilisé pour gérer les fichiers de langue du VPN SSL. »

Fortinet a déclaré que les modifications ont eu lieu dans le système de fichiers utilisateur et ont réussi à échapper à la détection, ce qui a entraîné le maintien du lien symbolique (alias symlink) même après que les failles de sécurité responsables de l’accès initial ont été comblées.

Cela a permis aux pirates de conserver un accès en lecture seule aux fichiers du système de fichiers de l’appareil, y compris aux configurations. Cependant, les clients n’ayant jamais activé SSL-VPN ne sont pas concernés par ce problème.

On ignore qui est à l’origine de cette activité, mais Fortinet a indiqué que son enquête indiquait qu’elle ne visait aucune région ni aucun secteur spécifique. L’entreprise a également indiqué avoir directement informé les clients concernés par le problème.

Afin d’éviter que de tels problèmes ne se reproduisent, une série de mises à jour logicielles de FortiOS ont été déployées –

• FortiOS 7.4, 7.2, 7.0, 6.4 – Le lien symbolique a été signalé comme malveillant afin qu’il soit automatiquement supprimé par le moteur antivirus
• FortiOS 7.6.2, 7.4.7, 7.2.11, 7.0.17 et 6.4.16 – Le lien symbolique a été supprimé et l’interface utilisateur SSL-VPN a été modifiée pour empêcher la diffusion de tels liens symboliques malveillants

Il est conseillé aux clients de mettre à jour leurs instances vers les versions FortiOS 7.6.2, 7.4.7, 7.2.11, 7.0.17 ou 6.4.16, de vérifier les configurations des appareils et de traiter toutes les configurations comme potentiellement compromises et d’effectuer les étapes de récupération appropriées .

L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a publié un avis, exhortant les utilisateurs à réinitialiser leurs identifiants exposés et à envisager de désactiver la fonctionnalité SSL-VPN jusqu’à l’application des correctifs. Dans un bulletin similaire, le Centre d’intervention d’urgence informatique (CERT-FR) a indiqué avoir connaissance de compromissions remontant jusqu’au début de l’année 2023.

Dans une déclaration partagée avec The Hacker News, le PDG de watchTowr, Benjamin Harris, a déclaré que l’incident était préoccupant pour deux raisons importantes.

« Tout d’abord, l’exploitation des vulnérabilités devient bien plus rapide que ce que les organisations peuvent corriger », a déclaré Harris. « Plus important encore, les attaquants en sont manifestement et profondément conscients. »

« Deuxièmement, et c’est encore plus terrifiant, nous avons vu à de nombreuses reprises des attaquants déployer des capacités et des portes dérobées après une exploitation rapide, conçues pour survivre aux processus de correctifs, de mise à niveau et de réinitialisation d’usine sur lesquels les organisations comptent pour atténuer ces situations afin de maintenir la persistance et l’accès aux organisations compromises. »

Harris a également déclaré que des déploiements de portes dérobées ont été identifiés dans l’ensemble de la base de clients de watchTowr, et qu’ils « constatent un impact sur des organisations que beaucoup qualifieraient clairement d’infrastructures critiques ».