Les auteurs de menaces chinois utilisent une boîte à outils de post-exploitation personnalisée nommée « DeepData » pour exploiter une vulnérabilité zero-day dans le client VPN WINDOWS FortiClient de Fortinet qui vole des informations d’identification.
Le jour zéro permet aux acteurs de la menace de vider les informations d’identification de la mémoire une fois que l’utilisateur s’est authentifié auprès du périphérique VPN
Les chercheurs de Volexity rapportent qu’ils ont découvert cette faille plus tôt cet été et l’ont signalée à Fortinet, mais le problème n’est toujours pas résolu et aucun CVE ne lui a été attribué.
« Volexity a signalé cette vulnérabilité à Fortinet le 18 juillet 2024, et Fortinet a reconnu le problème le 24 juillet 2024 », explique le rapport.
« Au moment de la rédaction de cet article, ce problème n’est toujours pas résolu et Volexity n’a pas connaissance d’un numéro CVE attribué. »
Ciblage des informations d’identification VPN
Les attaques sont menées par des pirates informatiques chinois nommés « BrazenBamboo », connus pour développer et déployer des familles de logiciels malveillants avancés ciblant les systèmes Windows, macOS, iOS et Android dans les opérations de surveillance.
Volexity explique que les acteurs de la menace utilisent de nombreux logiciels malveillants dans le cadre de leurs attaques, y compris les logiciels malveillants LightSpy et DeepPost.
LightSpy est un logiciel espion multiplateforme pour la collecte de données, l’enregistrement de frappe, le vol d’informations d’identification du navigateur et la surveillance des communications. Le malware DeepPost est utilisé pour voler des données à partir d’appareils compromis.
Le rapport de Volexity se concentre sur DeepData, un outil de post-exploitation modulaire pour Windows, qui utilise plusieurs plugins pour le vol de données ciblé.
Sa dernière version, repérée l’été dernier, DeepData inclut un plugin FortiClient qui exploite une vulnérabilité zero-day dans le produit pour extraire les informations d’identification (noms d’utilisateur, mots de passe) et les informations du serveur VPN.
DeepData localise et déchiffre les objets JSON dans la mémoire de processus de FortiClient où les informations d’identification persistent, et les exfiltrent vers le serveur de l’attaquant à l’aide de DeepPost.
En compromettant les comptes VPN, BrazenBamboo peut obtenir un accès initial aux réseaux d’entreprise, où ils peuvent ensuite se propager latéralement, accéder à des systèmes sensibles et généralement étendre les campagnes d’espionnage.
Jour zéro pour les clients forts
Volexity a découvert que DeepData exploite le FortiClient zero à la mi-juillet 2024 et a constaté qu’il était similaire à une faille de 2016 (également sans CVE), où la mémoire codée en dur compense les informations d’identification exposées.
Cependant, la vulnérabilité 2024 est nouvelle et distincte et ne fonctionne que sur les versions récentes, y compris la dernière, la version 7.4.0, indiquant qu’elle est probablement liée à des modifications récentes du logiciel.
Volexity explique que le problème est l’incapacité de FortiClient à effacer les informations sensibles de sa mémoire, y compris le nom d’utilisateur, le mot de passe, la passerelle VPN et le port, qui restent dans les objets JSON en mémoire.
Jusqu’à ce que Fortinet confirme la faille et publie un correctif, il est recommandé de restreindre l’accès VPN et de surveiller les activités de connexion inhabituelles.
Les indicateurs de compromission associés à la dernière campagne BrazenBamboo sont disponibles ici.
Breachtrace a contacté Fortinet pour lui poser des questions sur la vulnérabilité zero-day signalée et pour savoir s’ils prévoyaient de publier prochainement une mise à jour de sécurité, mais nous attendons toujours leur réponse.