Une vulnérabilité critique dans FortiOS SSL-VPN (CVE-2022-42475) pour laquelle Fortinet a publié des correctifs en novembre 2022 a été exploitée par des attaquants pour compromettre des cibles gouvernementales ou liées au gouvernement, a partagé la société.
Fortinet affirme que les attaquants ont des capacités avancées : ils ont pu procéder à la rétro-ingénierie de diverses parties de FortiOS pour les aider à créer l’exploit, et utiliser un implant basé sur Linux qui a été conçu sur mesure pour fonctionner sur ce système d’exploitation .
Ils ont également souligné que le logiciel malveillant peut manipuler les fichiers journaux afin d’éviter d’être détecté. « Il recherche les fichiers elog, qui sont des journaux d’événements dans FortiOS. Après les avoir décompressés en mémoire, il recherche une chaîne spécifiée par l’attaquant, la supprime et reconstruit les journaux. Le logiciel malveillant peut également tuer les processus de journalisation », la société expliqué.
Ils ont partagé des indicateurs de compromission (IoC) et détaillé comment les utiliser, et ont publié une signature pour les systèmes de prévention d’intrusion (IPS) que les clients peuvent utiliser pour se protéger.
Les défenseurs veulent des informations cruciales au bon moment
Cette dernière divulgation de Fortinet a de nouveau mis en lumière le fait que, lorsque certaines des mises à jour de FortiOS ont été publiées en novembre 2022, il y avait aucune indication dans les change logs d’une vulnérabilité exploitée dans la nature ayant été corrigée. La faille numérotée CVE a été ajoutée au journal des modifications plus tard, mais, encore une fois, sans aucune indication de son exploitation.
Comme certains des responsables de la correction des solutions informatiques et de sécurité informatique des organisations ont a souligné, un CVE dans le journal des modifications aurait affecté leur décision de planifier la mise à jour le plus tôt possible.
Comme alternative à la mise en œuvre des correctifs, Fortinet n’a pas non plus immédiatement proposé de solution de contournement possible (désactivation de la fonctionnalité SSL-VPN).
Bien qu’ils ne soient pas la seule entreprise à faire ce genre de faux pas, ils devraient être évités par tous à l’avenir.
Toute l’actualité en temps réel, est sur L’Entrepreneur
