Fortinet : la faille dans le VPN SSL exploitée pour déployer un malware sur FortiOS !
D'après Fortinet, des cybercriminels exploitent activement la faille de sécurité zero-day découverte en décembre 2022 au sein de la fonction VPN SSL du système FortiOS, utilisé sur les firewalls Fortigate. Bien qu'elle soit corrigée, cette vulnérabilité est exploitée dans le cadre de cyberattaques contre des organisations gouvernementales et des cibles liées au gouvernement.
Associée à la référence CVE-2022-42475, cette faille de sécurité critique dans la fonction VPN SSL peut être exploitée par un attaquant pour exécuter du code arbitraire ou une commande sur le firewall Fortinet. De ce fait, l'attaquant peut compromettre le firewall afin d'en prendre le contrôle total. D'ailleurs, Fortinet avait demandé à ses clients d'installer le correctif en urgence compte tenu de la gravité de la vulnérabilité.
D'après les analyses de Fortinet, il y a des attaques en cours contre des cibles spécifiques, et il s'agit plus particulièrement d'organisations gouvernementales ou d'entités rattachées au gouvernement. Au sein d'une nouvelle publication, Fortinet donne des précisions sur le logiciel malveillant : "Le malware était une variante d'une charge Linux générique et personnalisée pour FortiOS." - Il s'avère que le malware s'installe sur le firewall en tant que version trojanisée du moteur de détection IPS. Il est également capable de supprimer les événements le concernant dans les journaux afin d'éviter d'être détecté : "Le logiciel malveillant modifie les processus de journalisation de FortiOS afin de manipuler les journaux pour échapper à la détection", précise Fortinet.
Même si l'on ne sait pas encore quel est le groupe de cybercriminels à l'origine de cette vague d'attaques, Fortinet précise que le malware découvert a été compilé sur une machine située dans le fuseau horaire UTC+8, ce qui correspond à certains pays comme l'Australie, la Chine, la Russie, et Singapour.
Au-delà d'exploiter la vulnérabilité CVE-2022-42475 pour compromettre l'équipement Fortinet, les attaquants ont développé un malware spécial pour FortiOS, avec des fonctionnalités avancées pour passer entre les différentes couches de détection.
Pour rappel, cette faille de sécurité affecte à la fois FortiOS et FortiProxy. Tous les détails sont disponibles sur le site officiel de Fortinet, à cette adresse. Si ce n'est pas déjà fait, vous devez mettre à jour votre appareil en urgence !