Un nouveau bogue de FortiOS utilisé comme zero-day pour attaquer les réseaux gouvernementaux
Lors d’attaques contre le gouvernement et de grandes entreprises qui ont entraîné la corruption du système d’exploitation et des fichiers et la perte de données, des attaquants inconnus ont profité d’un nouveau problème de FortiOS qui a été corrigé ce mois-ci en utilisant des exploits de type “zero-day” (jour zéro).
Le 7 mars 2023, Fortinet a publié des correctifs de sécurité pour corriger la faille de sécurité de haute sévérité (CVE-2022-41328) qui permettait aux acteurs de la menace d’exécuter du code ou des commandes non autorisés.
Selon l’alerte de l’entreprise, “FortiOS peut permettre à un attaquant privilégié de lire et d’écrire des fichiers arbitraires en utilisant des commandes CLI élaborées en raison d’une limitation inappropriée d’un nom de chemin d’accès à un répertoire restreint (‘path traversal’) [CWE-22]”.
Les versions 6.4.0 à 6.4.11, 7.0.0 à 7.0.9, 7.2.0 à 7.2.3, et toutes les versions 6.0 et 6.2 de FortiOS font partie des éléments impactés.
Les administrateurs doivent mettre à jour les produits concernés vers la version 6.4.12 de FortiOS ou une version ultérieure, la version 7.0.10 de FortiOS ou une version ultérieure, ou la version 7.2.4 de FortiOS ou une version ultérieure afin de corriger le problème de sécurité.
Un rapport de Fortinet publié la semaine dernière a révélé que les exploits CVE-2022-41328 avaient été utilisés pour pirater et mettre hors service de nombreux dispositifs de pare-feu FortiGate appartenant à l’un de ses clients. L’avis relatif à la vulnérabilité ne mentionnait pas que le bogue avait été exploité dans la nature avant la publication des correctifs.
Logiciel malveillant de vol de données
Lorsque les dispositifs Fortigate compromis ne redémarrent pas après s’être éteints, le message suivant apparaît : “System enters error-mode owing to FIPS error : Firmware Integrity self-test failed”, l’incident a été détecté.
Selon Fortinet, ce phénomène est dû au fait que ses appareils compatibles FIPS vérifient l’intégrité des composants du système et sont configurés pour s’arrêter automatiquement et interrompre le démarrage afin d’empêcher une violation du réseau en cas de découverte d’une compromission.
Étant donné qu’ils se sont tous arrêtés en même temps, qu’ils ont été compromis à l’aide des mêmes techniques et que l’attaque par traversée de chemin FortiGate a été lancée en même temps que les scripts exécutés via FortiManager, ces pare-feux Fortigate ont été brisés par l’intermédiaire d’un dispositif FortiManager sur le réseau de la victime.
L’analyse qui a suivi a révélé que les attaquants ont modifié l’image du micrologiciel de l’appareil (/sbin/init) pour déployer une charge utile (/bin/fgfm) avant la procédure de démarrage.
Si ce logiciel malveillant reçoit un paquet ICMP contenant la chaîne “;7(Zu9YTsA7qQ#vm”, il peut alors exfiltrer des données, télécharger et écrire des fichiers, ou ouvrir des shells à distance.
Un jour zéro utilisé pour attaquer les réseaux gouvernementaux
Certains éléments suggérant que les acteurs de la menace préféraient les réseaux gouvernementaux, Fortinet est parvenu à la conclusion que les attaques étaient très ciblées. Dans le cadre de leurs “capacités avancées”, les attaquants ont apparemment réussi à désosser des parties du système d’exploitation des dispositifs FortiGate.
L’entreprise a affirmé que l’attaque était “extrêmement ciblée, avec quelques indices de cibles politiques ou gouvernementales privilégiées”.
“Une connaissance approfondie de FortiOS et du matériel sous-jacent est nécessaire pour l’exploitation. Les implants sur mesure démontrent les compétences étendues de l’acteur, y compris sa capacité à faire de la rétro-ingénierie sur les différents composants de FortiOS”
Afin de prévenir toute tentative d’attaque, les utilisateurs de Fortinet sont encouragés à mettre à jour rapidement leur système avec une version corrigée de FortiOS (une liste d’IOC est également fournie ici).
Une vulnérabilité SSL-VPN de FortiOS, corrigée en décembre 2022 et identifiée comme CVE-2022-42475, a été exploitée en tant que faille zero-day pour cibler des organisations gouvernementales et des entités ayant un lien avec le gouvernement dans une série d’incidents publiés par Fortinet en janvier.
La campagne de piratage chinoise qui a infecté des appliances SonicWall Secure Mobile Access (SMA) non corrigées avec des logiciels malveillants de cyber-espionnage qui supportent les mises à jour du firmware est assez similaire aux attaques zero-day SSL-VPN de FortiOS.
French 
Italian 