Fortinet avertit que les auteurs de menaces utilisent une technique de post-exploitation qui les aide à conserver un accès en lecture seule aux périphériques VPN FortiGate précédemment compromis, même après que le vecteur d’attaque d’origine a été corrigé.
Plus tôt cette semaine, Fortinet a commencé à envoyer des courriels aux clients les avertissant que leurs appareils FortiGate/FortiOS étaient compromis en fonction de la télémétrie reçue des appareils FortiGuard.
Ces courriels étaient intitulés » Notification de compromission de l’appareil-FortiGate / FortiOS – * * Action urgente requise ** », avec une désignation TLP:AMBER+STRICTE.
« Ce problème n’est lié à aucune nouvelle vulnérabilité. Ce fichier a été laissé par un acteur menaçant à la suite de l’exploitation de vulnérabilités connues antérieures », indiquent les courriels, y compris, mais sans s’y limiter, CVE-2022-42475, CVE-2023-27997 et CVE-2024-21762.
Après que Breachtrace ait contacté Fortinet pour lui poser des questions sur ces courriels, la société a publié jeudi un avis mettant en garde contre cette nouvelle technique d’exploitation. L’avis indique que lorsque les auteurs de la menace ont précédemment violé des serveurs en utilisant des vulnérabilités plus anciennes, ils ont créé des liens symboliques dans le dossier language files vers le système de fichiers racine sur les appareils avec SSL-VPN activé.
Cela leur permet de conserver un accès en lecture seule au système de fichiers racine via le panneau Web SSL-VPN accessible au public, même après leur découverte et leur expulsion.
« Un auteur de menace a utilisé une vulnérabilité connue pour implémenter un accès en lecture seule aux périphériques FortiGate vulnérables. Ceci a été réalisé en créant un lien symbolique reliant le système de fichiers utilisateur et le système de fichiers racine dans un dossier utilisé pour servir les fichiers de langue pour le VPN SSL. Cette modification a eu lieu dans le système de fichiers de l’utilisateur et a évité la détection », explique Fortinet.
« Par conséquent, même si l’appareil du client a été mis à jour avec des versions FortiOS qui corrigeaient les vulnérabilités d’origine, ce lien symbolique peut avoir été laissé de côté, permettant à l’auteur de la menace de conserver un accès en lecture seule aux fichiers sur le système de fichiers de l’appareil, ce qui peut inclure des configurations. »
Les attaques remontent à début 2023
Si Fortinet n’a pas révélé le calendrier exact de ces attaques, l’Équipe d’Intervention d’Urgence Informatique de France (CERT-FR), qui fait partie de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) du pays, a révélé jeudi que cette technique avait été utilisée dans une vague massive d’attaques remontant à début 2023.
« Le CERT-FR est au courant d’une campagne massive impliquant de nombreux appareils compromis en France. Lors des opérations de réponse aux incidents, le CERT-FR a appris que des compromis se produisaient depuis début 2023 », a déclaré le CERT-FR.
Aujourd’hui, CISA a également conseillé aux défenseurs du réseau de signaler tout incident et activité anormale liés au rapport de Fortinet à son centre d’opérations 24h / 24 et 7j / 7 à [email protected] ou (888) 282-0870.
Dans les courriels envoyés plus tôt cette semaine, Fortinet a conseillé aux clients de mettre immédiatement à niveau leurs pare-feu FortiGuard vers la dernière version de FortiOS (7.6.2, 7.4.7, 7.2.11, 7.0.17, 6.4.16) pour supprimer les fichiers malveillants utilisés pour la persistance.
Les administrateurs ont également été invités à examiner immédiatement les configurations des appareils et à se concentrer sur la recherche de tout changement inattendu. Ce document d’assistance fournit des conseils supplémentaires sur la réinitialisation des informations d’identification potentiellement exposées sur les appareils compromis.
CERT-FR a également recommandé d’isoler les périphériques VPN compromis du réseau, de réinitialiser tous les secrets (informations d’identification, certificats, jetons d’identité, clés cryptographiques, etc.) et de rechercher des preuves de mouvement latéral du réseau.