Fortinet a averti aujourd’hui que des attaquants exploitaient un autre bogue zero-day désormais corrigé dans FortiOS et FortiProxy pour détourner les pare-feu Fortinet et violer les réseaux d’entreprise.
L’exploitation réussie de cette vulnérabilité de contournement d’authentification (CVE-2025-24472) permet aux attaquants distants d’obtenir des privilèges de super administrateur en effectuant des requêtes proxy CSF conçues de manière malveillante.
La faille de sécurité affecte FortiOS 7.0.0 à 7.0.16, FortiProxy 7.0.0 à 7.0.19 et FortiProxy 7.2.0 à 7.2.12. Fortinet l’a corrigé dans FortiOS 7.0.17 ou supérieur et FortiProxy 7.0.20 / 7.2.13 ou supérieur.
Fortinet a ajouté le bogue en tant que nouvel identifiant CVE à un avis de sécurité publié le mois dernier avertissant les clients que les auteurs de menaces exploitaient une vulnérabilité zero-day dans FortiOS et FortiProxy (suivi sous le numéro CVE-2024-55591), qui affectait les mêmes versions logicielles. Cependant, la faille CVE-2024-55591 désormais corrigée pourrait être exploitée en envoyant des requêtes malveillantes au nœud.module websocket js.
Selon Fortinet, les attaquants exploitent les deux vulnérabilités pour générer des utilisateurs administrateurs ou locaux aléatoires sur les appareils affectés, en les ajoutant à des groupes d’utilisateurs VPN SSL nouveaux et existants. Ils ont également été vus en train de modifier des politiques de pare-feu et d’autres configurations et d’accéder à des instances SSLVPN avec des comptes voyous précédemment établis « pour obtenir un tunnel vers le réseau interne.réseau. »
Bien que Fortinet n’ait pas fourni d’informations supplémentaires sur la campagne, la société de cybersécurité Arctic Wolf a publié un rapport avec des indicateurs de compromission correspondants (IOC), indiquant que les pare-feu vulnérables Fortinet FortiGate avec des interfaces de gestion exposées à Internet sont attaqués depuis au moins la mi-novembre.
« La campagne impliquait des connexions administratives non autorisées sur les interfaces de gestion des pare-feu, la création de nouveaux comptes, l’authentification VPN SSL via ces comptes et divers autres changements de configuration », a déclaré Arctic Wolf Labs.
« Bien que le vecteur d’accès initial ne soit pas définitivement confirmé, une vulnérabilité zero-day est hautement probable. Les organisations doivent désactiver d’urgence l’accès à la gestion du pare-feu sur les interfaces publiques dès que possible. »
Arctic Wolf Labs a également fourni cette chronologie pour les attaques d’exploitation de masse CVE-2024-55591, indiquant qu’elle comprend quatre phases uniques:
- Analyse des vulnérabilités (du 16 novembre 2024 au 23 novembre 2024)
- Reconnaissance (22 novembre 2024 au 27 novembre 2024)
- Configuration VPN SSL (du 4 décembre 2024 au 7 décembre 2024)
- Déplacement latéral (16 décembre 2024 au 27 décembre 2024)
« Compte tenu des différences subtiles de savoir-faire et d’infrastructure entre les intrusions, il est possible que plusieurs individus ou groupes aient été impliqués dans cette campagne, mais l’utilisation de jsconsole était un fil conducteur à tous les niveaux », a-t-il ajouté.
Arctic Wolf Labs a ajouté avoir informé Fortinet des attaques le 12 décembre et avoir reçu la confirmation de l’Équipe de réponse aux incidents de sécurité des produits (PSIRT) de l’entreprise cinq jours plus tard que l’activité était connue et faisait déjà l’objet d’une enquête.
Fortinet a conseillé aux administrateurs qui ne peuvent pas déployer immédiatement les mises à jour de sécurité pour sécuriser les pare-feu vulnérables de désactiver l’interface d’administration HTTP/HTTPS ou de limiter les adresses IP qui peuvent y accéder via des stratégies d’entrée locale comme solution de contournement.
Breachtrace a contacté un porte-parole de Fortinet pour obtenir des commentaires, mais n’a pas eu de réponse au moment de la publication.