Les attaquants exploitent une nouvelle vulnérabilité de contournement d’authentification zero-day dans FortiOS et FortiProxy pour détourner les pare-feu Fortinet et violer les réseaux d’entreprise.
Cette faille de sécurité (suivie comme CVE-2024-55591) affecte FortiOS 7.0.0 à 7.0.16, FortiProxy 7.0.0 à 7.0.19 et FortiProxy 7.2.0 à 7.2.12. Une exploitation réussie permet aux attaquants distants d’obtenir des privilèges de super-administrateur en faisant des requêtes malveillantes au nœud.module websocket js.
Fortinet affirme que les attaquants exploitant le jour zéro dans la nature créent des utilisateurs administratifs ou locaux générés aléatoirement sur des appareils compromis et les ajoutent aux groupes d’utilisateurs VPN SSL existants ou aux nouveaux qu’ils ajoutent également.
Ils ont également été observés en train d’ajouter ou de modifier des politiques de pare-feu et d’autres paramètres et de se connecter à SSLVPN en utilisant des comptes voyous précédemment créés « pour obtenir un tunnel vers le réseau interne. »
Bien que la société n’ait pas fourni d’informations supplémentaires sur la campagne, la société de cybersécurité Arctic Wolf a publié vendredi un rapport avec des indicateurs de compromission correspondants (IOC), qui indique que les pare-feu Fortinet FortiGate avec des interfaces de gestion exposées à Internet sont attaqués depuis la mi-novembre.
« La campagne impliquait des connexions administratives non autorisées sur les interfaces de gestion des pare-feu, la création de nouveaux comptes, l’authentification VPN SSL via ces comptes et divers autres changements de configuration », a déclaré Arctic Wolf Labs.
« Bien que le vecteur d’accès initial ne soit pas définitivement confirmé, une vulnérabilité zero-day est hautement probable. Les organisations doivent désactiver d’urgence l’accès à la gestion du pare-feu sur les interfaces publiques dès que possible. »
Fortinet a également conseillé aux administrateurs dans l’avis d’aujourd’hui de désactiver l’interface d’administration HTTP/HTTPS ou de limiter les adresses IP pouvant atteindre l’interface d’administration via des stratégies d’entrée locale comme solution de contournement.
Arctic Wolf a également fourni un calendrier pour cette campagne d’exploitation de masse CVE-2024-55591, indiquant qu’elle comprend quatre phases:
- Analyse des vulnérabilités (du 16 novembre 2024 au 23 novembre 2024)
- Reconnaissance (22 novembre 2024 au 27 novembre 2024)
- Configuration VPN SSL (du 4 décembre 2024 au 7 décembre 2024)
- Déplacement latéral (16 décembre 2024 au 27 décembre 2024)
« Bien que le vecteur d’accès initial utilisé dans cette campagne ne soit pas encore confirmé, Arctic Wolf Labs évalue avec une grande confiance que l’exploitation massive d’une vulnérabilité zero-day est probable compte tenu de la chronologie compressée des organisations touchées ainsi que des versions de micrologiciels affectées », la firme de cybersécurité a ajouté.
« Compte tenu des différences subtiles de savoir-faire et d’infrastructure entre les intrusions, il est possible que plusieurs individus ou groupes aient été impliqués dans cette campagne, mais l’utilisation de jsconsole était un fil conducteur à tous les niveaux. »
Fortinet et Arctic Wolf partageaient des IOC presque identiques, indiquant que vous pouvez examiner les journaux pour les entrées suivantes afin de déterminer si les périphériques étaient ciblés.
Après vous être connecté via la vulnérabilité, les journaux afficheront une adresse IP source et une adresse IP de destination aléatoires:
type="event" subtype="system" level="information" vd="root" logdesc="Admin login successful" sn="1733486785" user="admin" ui="jsconsole" method="jsconsole" srcip=1.1.1.1 dstip=1.1.1.1 action="login" status="success" reason="none" profile="super_admin" msg="Administrator admin logged in successfully from jsconsole"Une fois que les acteurs de la menace ont créé un utilisateur administrateur, un journal sera généré avec ce qui semble être un nom d’utilisateur et une adresse IP source générés aléatoirement:
type="event" subtype="system" level="information" vd="root" logdesc="Object attribute configured" user="admin" ui="jsconsole(127.0.0.1)" action="Add" cfgtid=1411317760 cfgpath="system.admin" cfgobj="vOcep" cfgattr="password[*]accprofile[super_admin]vdom[root]" msg="Add system.admin vOcep"Les sociétés de sécurité ont également averti que les attaquants utilisaient couramment les adresses IP suivantes dans les attaques:
1.1.1.1
127.0.0.1
2.2.2.2
8.8.8.8
8.8.4.4Arctic Wolf dit avoir informé Fortinet des attaques le 12 décembre 2024 et avoir reçu la confirmation de FortiGuard Labs PSIRT le 17 décembre 2024 que cette activité était connue et faisait déjà l’objet d’une enquête.
Aujourd’hui, Fortinet a également publié des correctifs de sécurité pour une vulnérabilité critique de clé cryptographique codée en dur (CVE-2023-37936). Cette vulnérabilité permet à des attaquants distants non authentifiés disposant de la clé d’exécuter du code non autorisé via des requêtes cryptographiques contrefaites.
En décembre, Volexity a rapporté que des pirates chinois avaient utilisé une boîte à outils de post-exploitation personnalisée baptisée « DeepData » pour exploiter une vulnérabilité zero-day (sans identifiant CVE) dans le client VPN FortiClient WINDOWS de Fortinet pour voler des informations d’identification.
Deux mois plus tôt, Mandiant avait révélé qu’une faille Fortinet FortiManager baptisée « FortiJump » (suivie sous le numéro CVE-2024-47575) avait été exploitée comme un jour zéro pour violer plus de 50 serveurs depuis juin.