Ce nouvel exploit FortiOS est utilisé pour compromettre des entreprises
Un nouveau problème de sécurité affecte le géant Fortinet ! Les attaquants utilisent un exploit zero-day visant à exploiter la vulnérabilité CVE-2022-41328, corrigée il y a quelques jours par Fortinet.
Un nouveau rapport de sécurité mis en ligne par Fortinet mentionne un incident lors duquel les attaquants sont parvenus à exploiter la faille de sécurité CVE-2022-41328. Patchée depuis le 7 mars 2023, cette vulnérabilité permet à un attaquant d'exécuter du code malveillant ou des commandes sur FortiOS.
D'après Fortinet, les attaquants ciblent les organisations gouvernementales et les grandes entreprises où les solutions Fortinet sont déployées. Lorsque l'attaque réussie, l'impact est le suivant : "Perte de données et corruption du système d'exploitation et des fichiers", précise l'éditeur de FortiOS.
Tout à commencé lorsque les firewalls FortiGate d'un client Fortinet se sont mis en sécurité, en affichant le message "System enters error-mode due to FIPS error: Firmware Integrity self-test failed" au démarrage. Ce message s'affiche lorsque le mode FIPS est actif : il arrête le système et l'empêche de démarrer si une intrusion est détectée, dans le but de protéger l'intégrité du réseau derrière le FortiGate.
D'après l'analyse de Fortinet, c'est la solution FortiManager du client qui a été exploité puisque tous les FortiGate ont détecté l'attaque en même temps (compromission) et il y a eu des scripts exécutés sur les firewalls à partir de l'interface FortiManager pour déclencher l'exploit path traversal.
L'objectif étant de s'attaquer au firmware du FortiGate pour ajouter une souche malveillante permettant d'exfiltrer des données, de télécharger et d'écrire des fichiers, et même d'ouvrir des shells distants lorsque l'équipement reçoit un paquet ICMP spécifique contenant la chaîne ";7(Zu9YTsA7qQ#vm".
Fortinet ne sait pas quel est le groupe de cybercriminels à l'origine de l'incident de sécurité faisant l’objet de ces investigations, mais compte tenu de la complexité de l'exploit, cela ne doit pas être un gang de débutants... En tout cas, Fortinet précise que cet exploit nécessite une connaissance approfondie de FortiOS et du matériel Fortinet.
Se protéger de la CVE-2022-41328
D'après le bulletin de sécurité de cette vulnérabilité, les versions suivantes sont affectées :
- FortiOS versions 7.2.0 à 7.2.3
- FortiOS versions 7.0.0 à 7.0.9
- FortiOS versions 6.4.0 à 6.4.11
- FortiOS 6.2, toutes les versions
- FortiOS 6.0, toutes les versions
De ce fait, et puisqu'il y a un correctif disponible, voici la version à cibler pour se protéger :
- FortiOS version 7.2.4 ou supérieur
- FortiOS version 7.0.10 ou supérieur
- FortiOS version 6.4.12 ou supérieur
Sur son site, Fortinet a mis en ligne une liste des indicateurs de compromissions associés à ces nouvelles attaques. Il est conseillé de mettre à jour ses équipements dès que possible.
