CERT-FR : de nombreux firewalls Fortinet compromis en France, malgré les correctifs !
Mauvaise nouvelle pour les utilisateurs de firewalls FortiGate : des cybercriminels exploitent une technique pour maintenir un accès furtif à l'équipement, même lorsque les correctifs sont appliqués. Voici ce qu'il faut savoir.
FortiGate : un accès persistant via les fichiers de langue VPN-SSL
Une alerte de sécurité publiée par Fortinet met en évidence une technique de post-exploitation liée au VPN-SSL utilisée par les attaquants pour conserver un accès en lecture seule aux systèmes compromis, même après la correction des vulnérabilités exploitées initialement.
"Ce problème n'est pas lié à une nouvelle vulnérabilité. Ce fichier a été laissé par un acteur de la menace suite à l'exploitation de précédentes vulnérabilités connues.", précise Fortinet. Ici, Fortinet fait référence au lien symbolique créé par les pirates dans le répertoire des fichiers de langue utilisé par l’interface web SSL-VPN. Ce lien permet de rediriger vers le système de fichiers racine, sans générer d'alerte de sécurité.
Il est créé par les cybercriminels lors de l'accès initial, dans le cadre d'attaques visant à exploiter plusieurs vulnérabilités : CVE-2022-42475, CVE-2023-27997 et CVE-2024-21762.
Fortinet explique : "Un acteur de la menace a utilisé une vulnérabilité connue pour mettre en œuvre un accès en lecture seule aux dispositifs FortiGate vulnérables. Pour ce faire, il a créé un lien symbolique reliant le système de fichiers de l'utilisateur et le système de fichiers racine dans un dossier utilisé pour servir les fichiers de langue pour le VPN SSL. Cette modification a eu lieu dans le système de fichiers de l'utilisateur et n'a pas été détectée."
Même après une mise à jour du système FortiOS, ce lien malveillant peut continuer à exposer les fichiers du firewall, y compris les fichiers de configurations.
Une campagne massive depuis début 2023
Bien que Fortinet n’ait pas précisé la chronologie des attaques, le CERT-FR, rattaché à l’ANSSI, a révélé que cette méthode est utilisée depuis le début de l’année 2023 dans le cadre d’une vaste campagne visant de nombreux équipements Fortinet, notamment en France. Cela fait donc 2 ans que ces attaques sont en cours !
"Le CERT-FR a connaissance d'une campagne massive, avec de nombreux équipements compromis en France. Lors d'opérations de réponse à incident, le CERT-FR a pris connaissance de compromissions ayant eu lieu dès le début de l'année 2023.", peut-on lire dans le bulletin d'alerte du CERT-FR.
De son côté, l'éditeur Fortinet recommande aux administrateurs d'effectuer les actions suivantes :
- Mettre à jour FortiOS vers les versions les plus récentes : 7.6.2, 7.4.7, 7.2.11, 7.0.17 et 6.4.16.
- Vérifier en profondeur les configurations pour détecter toute modification non autorisée.
- Réinitialiser les identifiants potentiellement compromis.
Fortinet apporte également les précisions suivantes :
- FortiOS 7.4, 7.2, 7.0, 6.4 : Le lien symbolique a été signalé comme malveillant par le moteur AV/IPS afin qu'il soit automatiquement supprimé si le moteur est sous licence et activé.
- FortiOS 7.6.2, 7.4.7, 7.2.11 & 7.0.17, 6.4.16 : La mise à jour vers cette version supprimera le lien symbolique malveillant.
- FortiOS 7.6.2, 7.4.7, 7.2.11 & 7.0.17, 6.4.16 : L'interface utilisateur SSL-VPN a été modifiée pour empêcher la diffusion de tels liens symboliques malveillants.
Il est important de noter que si la fonctionnalité de VPN SSL n'a jamais été activée, vous n'êtes pas concerné par ce problème de sécurité.
"L'éditeur a indiqué avoir contacté les clients avec des équipements compromis.", précise le CERT-FR. Je vous encourage à consulter leur bulletin d'alerte pour prendre connaissance de leurs recommandations.
