Mise à jour de sécurité Cyber Fortinet échoue ; vulnérabilité zero-day exploitée par des acteurs malveillants

Il y a une semaine, la société de cybersécurité Fortinet a publié une mise à jour de sécurité pour corriger une vulnérabilité de sécurité de haute gravité CVE-2022-41328, permettant aux acteurs malveillants d’exécuter des commandes ou du code non autorisés.

Eh bien, pour mettre cela en perspective, certains acteurs malveillants anonymes ont utilisé une vulnérabilité zero-day pour exploiter un bogue dans le FortiOS qui a permis aux attaquants de cibler des gouvernements et de grandes organisations, conduisant finalement à la corruption du système d’exploitation, des fichiers et à la perte de données.

FortiOS, comme son nom l’indique, est le système d’exploitation de Fortinet, utilisé par les entreprises pour un système d’exploitation de sécurité réseau. Il fournit une protection avancée contre les menaces avec un accès de sécurité unifié, la sécurité réseau et plus encore.

L’avis de vulnérabilité n’a pas mentionné le bogue que les attaquants ont exploité avant d’être corrigé. Bien qu’un rapport publié par la société de sécurité ait révélé CVE-2022-41328, la vulnérabilité a été utilisée pour compromettre et démonter plusieurs dispositifs de pare-feu Fortinet FortiGate d’un de ses clients.

“Une limitation inappropriée d’un chemin d’accès à un répertoire restreint (traversée de chemin) [cve-22] dans FortiOS peut permettre à un attaquant privilégié de lire et d’écrire des fichiers arbitraires via des commandes CLI conçues,” mentionne la société dans son avis.

Voici les versions compromises de FortiOS 6.4.0 à 6.4.11 et FortiOS 7.0.0 à 7.0.9, version 7.2.0 à 7.2.3, et toutes les autres versions de FortiOS 6.0 à 6.2.

Lire : La fonctionnalité de remplissage automatique du gestionnaire de mots de passe Bitwarden vulnérable au vol de données d’identification basé sur iframe

Pour corriger l’exploitation, les administrateurs ont dû mettre à niveau la version vulnérable de FortiOS 6.4.12 à FortinetOS version 7.0.10 et plus tard à FortiOS version 7.2.4 et au-dessus.

La société de sécurité l’a découvert après que le dispositif compromis de Fortinet se soit arrêté avec le système entrant en mode erreur en raison du message d’erreur FIPS : Échec du test d’intégrité du feu et n’a pas pu redémarrer.

La société mentionne que cela s’est produit alors que le dispositif activé par FIPS confirme l’intégrité des composants du système et est conçu pour s’arrêter et cesser de démarrer un blocage de violation de réseau si une exploitation est identifiée.

Les pare-feu ont été exploités via le FortiManager sur le réseau cible, notant que tous ont été arrêtés simultanément, ce qui signifie qu’ils ont été piratés avec les mêmes tactiques et que l’exploitation de la traversée de chemin FortiGate a été lancée en même temps que des scripts exécutés via FortiManager.

Eh bien, l’enquête suivante a montré que les attaquants avaient modifié l’image du firmware de l’appareil (/sbin/init) pour lancer une charge utile (/bin/fgfm) avant le démarrage du processus.

Le logiciel malveillant a permis l’exfiltration de données, l’ouverture de shells distants lors de la réception d’un paquet ICPM contenant la chaîne “;7(Zu9YTsA7qQ#vm” ou le téléchargement et l’écriture de fichiers.

La société de cybersécurité mentionne que les attaques étaient hautement ciblées avec la preuve que les acteurs malveillants favorisaient les réseaux gouvernementaux. Les acteurs malveillants ont montré des capacités avancées, y compris l’ingénierie inverse du système d’exploitation des dispositifs de Fortinet.

Les attaques étaient hautement ciblées, avec certaines preuves de cela favorisant les cibles gouvernementales et liées au gouvernement, mentionne Fortinet.

Les exploits nécessitent une compréhension approfondie de FortiOS et de son matériel. L’enquête montre que les attaquants avaient des capacités avancées d’ingénierie inverse des nombreuses parties du système d’exploitation de la société de sécurité. Les clients de Fortinet sont conseillés de mettre à niveau vers une version corrigée pour bloquer les tentatives d’attaque possibles.

Lire : Fuite BidenCash : Plus de 2 millions de cartes de crédit/débit avec des informations personnelles exposées