Posté le janvier 13, 2023 à 8:48
FORTINET CONFIRME QUE DES HACKERS ONT EXPLOITÉ UNE VULNÉRABILITÉ CRITIQUE POUR COMPROMETTRE DES UTILISATEURS
Un hacker inconnu a exploité une faille critique dans le FortiOS SSL-VPN de Fortinet. Le hacker a exploité cette faille pour infecter le gouvernement et d’autres institutions. Selon un rapport de recherche publié par la société en début de semaine, le hacker a exploité la faille à l’aide d’un logiciel malveillant personnalisé.
Des hackers exploitent une faille critique de Fortinet pour infecter des utilisateurs de VPN
La vulnérabilité exploitée par les hackers s’appelle CVE-2022-42475. La faille de sécurité permet aux acteurs de la menace d’exécuter du code malveillant. Le degré de gravité de la faille est de 9,8 sur 10.
L’éditeur de logiciels Fortinet a corrigé cette vulnérabilité dans la version 7.2.3, publiée le 28 novembre. Cependant, l’entreprise n’a pas mentionné la menace dans les notes de version publiées lors de la diffusion de la faille.
L’éditeur de logiciels Fortinet a corrigé cette vulnérabilité dans la version 7.2.3, publiée le 28 novembre. Cependant, l’entreprise n’a pas mentionné la menace dans les notes de version publiées lors de la diffusion de la faille.
Fortinet a divulgué la vulnérabilité le 12 décembre. À l’époque, l’éditeur de logiciels avait averti les utilisateurs que la faille était exploitée et qu’au moins un de ses clients en était victime. L’entreprise a exhorté ses clients à s’assurer qu’ils utilisent une version corrigée du logiciel et à rechercher tout signe d’exploitation de la vulnérabilité au sein de leurs réseaux.
Les VPN SSL de FortiOS utilisés dans les pare-feu frontaliers empêchent le réseau interne sensible d’accéder à l’Internet public. Le dernier rapport de Fortinet fournit des détails complets sur ce qui s’est passé et sur le hacker à l’origine de l’exploit.
Toutefois, le message n’explique pas pourquoi l’entreprise n’a pas divulgué la faille après l’application d’un correctif en novembre. Un porte-parole de l’entreprise n’a pas non plus précisé pourquoi l’entreprise n’a pas divulgué la faille ni sa politique en matière de divulgation des vulnérabilités.
« La complexité de l’exploit suggère qu’il s’agit d’un acteur avancé et qu’il est hautement ciblé sur des cibles gouvernementales ou liées au gouvernement », ont déclaré des représentants de Fortinet dans une mise à jour publiée mercredi.
L’exploitation ne peut être réalisée que par un hacker sophistiqué, car elle nécessite une bonne connaissance de FortiOS et du logiciel malveillant exploité. Les hackers ont aussi utilisé des implants personnalisés et ont procédé à une rétro-ingénierie de certaines fonctionnalités de FortiOS.
L’activité de l’acteur de la menace a également montré qu’il opérait dans le fuseau horaire UTC+8, qui comprend des pays comme la Russie, Singapour, la Chine, l’Australie et d’autres pays d’Asie de l’Est.
Fortinet a par ailleurs analysé l’un des serveurs infectés, montrant que l’acteur de la menace a utilisé la faille pour installer une variante d’un implant Linux populaire. L’implant a été personnalisé pour fonctionner sur FortiOS. Les hackers ont également pris des mesures pour dissimuler leurs activités, notamment en désactivant certains événements de journalisation après l’installation du logiciel malveillant. L’implant installé par le hacker pouvait de plus imiter un moteur IPS de Fortinet.
Après avoir émulé l’exécution de l’implant, les chercheurs de Fortinet ont également détecté des chaînes d’octets uniques dans la communication avec les serveurs de commande et de contrôle. Celles-ci peuvent être utilisées comme signature dans les systèmes qui empêchent l’intrusion dans les appareils des utilisateurs. Le buffer sera alors visible dans le paquet « Client Hello ».
Il existe en outre de nombreux signes montrant qu’un serveur a été ciblé. Ces signes incluent la connexion à un large éventail d’adresses IP. D’autres sessions TCP, telles que la connexion au FortiGate sur le port 443, plusieurs requêtes, une session shell interactive et la connexion pour exécuter une commande sur le FortiGate, ont également été détectées, montrant que l’acteur de la menace avait ciblé un serveur.
La post-analyse comprend plusieurs indicateurs qui montrent que la victime a été compromise. Les institutions qui utilisent le FortiOS SSL-VPN sont invitées à vérifier leurs réseaux pour détecter tout signe indiquant que la violation les a ciblés et s’ils ont été infectés.
Absence de divulgation de la vulnérabilité
Cependant, le rapport post-analyse n’explique pas pourquoi Fortinet n’a pas divulgué la vulnérabilité avant qu’elle ne soit exploitée, étant donné que la faille avait un score de gravité élevé. Avec les divulgations appropriées, les utilisateurs ont une chance de prioriser l’installation des correctifs. Si un correctif corrige une vulnérabilité dont le score de gravité est de 9,8, les organisations l’appliqueront plus rapidement.
Les représentants de l’entreprise ont expliqué pourquoi ils n’ont pas divulgué cette vulnérabilité, en précisant qu’en décembre de l’année dernière, Fortinet a diffusé un avis PSIRT qui donnait des conseils sur les mesures d’atténuation et indiquait les prochaines étapes à suivre pour corriger la faille.
« Nous avons informé les clients via le processus d’avis PSIRT et leur avons conseillé de suivre les conseils fournis et, dans le cadre de notre engagement continu envers la sécurité de nos clients, de continuer à surveiller la situation. Aujourd’hui, nous avons partagé des recherches supplémentaires concernant CVE-2022-42475 », a déclaré l’entreprise en invitant les utilisateurs à consulter le blog pour en savoir plus sur le bug.