Origine : bjCSIRT
Numéro : 2025/ALERTE/032
Date de l’alerte : 13/04/2025
APERÇU :
Une technique avancée de post-exploitation permettrait à des acteurs malveillants d’établir un accès persistant en lecture sur des systèmes préalablement compromis via l’exploitation de vulnérabilités d’exécution de code à distance libellées CVE-2022-42475, CVE-2023-27997 et CVE-2024-21762.
DESCRIPTION :
Fortigate est un pare-feu de nouvelle génération (NGFW) développé par Fortinet et destiné à sécuriser les réseaux contre les intrusions et les attaques. Il intègre la fonctionnalité SSL-VPN permettant aux utilisateurs d’établir des connexions sécurisées à distance en utilisant le protocole SSL/TLS.
Certaines versions de ce pare-feu, ayant la fonctionnalité SSL-VPN activée, présentent des vulnérabilités critiques identifiées sous les références CVE-2022-42475, CVE-2023-27997 et CVE-2024-21762. Leur exploitation permettrait à un acteur malveillant non authentifié d’exécuter du code arbitraire sur le système compromis. Des correctifs de sécurité et des mises à jour publiques ont été publiés pour remédier à ces vulnérabilités.
Toutefois, après la compromission du pare-feu FortiGate, certains acteurs malveillants mettent en œuvre une technique de post-exploitation (accès persistant) reposant sur l’utilisation d’un lien symbolique placé sur le système cible. Cette méthode leur permet de maintenir un accès en lecture sur un système compromis, même après l’application des mises à jour ou correctifs de sécurité antérieurement publiés par l’éditeur pour les vulnérabilités libellées CVE-2022-42475, CVE-2023-27997 et CVE-2024-21762, compromettant ainsi la confidentialité des données du système.
IMPACT :
- Atteinte à la confidentialité des données.
SYSTÈMES AFFECTÉS :
- FortiOS versions antérieures à la version 7.6.2 ;
- FortiOS versions antérieures à la version 7.4.7 ;
- FortiOS versions antérieures à la version 7.2.11 ;
- FortiOS versions antérieures à la version 7.0.17 ;
- FortiOS versions antérieures à la version 6.4.16.
MESURES À PRENDRE :
- Mettre à jour FortiOS vers les versions : 7.6.2, 7.4.7, 7.2.11 et 7.0.17, 6.4.16 ;
- Désactiver la fonctionnalité SSL-VPN sur les pare-feux Fortinet FortiGate si elle n’est pas utilisée ;
- Changer les mots de passe de tous les comptes d’accès à l’équipement ;
- Signaler à l’équipe bjCSIRT si la version de votre pare-feu fait partie des systèmes affectés.
RÉFÉRENCES :
- https://www.fortinet.com/blog/psirt-blogs/analysis-of-threat-actor-activity
- https://csirt.gouv.bj/vulnerabilite-dexecution-de-code-a-distance-non-authentifiee-dans-fortios-ssl-vpn/
- https://csirt.gouv.bj/vulnerabilite-critique-presente-dans-les-pare-feux-fortigate/
- https://csirt.gouv.bj/vulnerabilite-critique-de-type-out-of-bounds-write-dans-la-fonctionnalite-ssl-vpn-de-fortios-et-fortiproxy/
