Fortinet
Un acteur de menace inconnu a abusé d’une vulnérabilité critique du FortiOS SSL-VPN de Fortinet pour infecter le gouvernement et les organisations liées au gouvernement avec des logiciels malveillants avancés sur mesure, a déclaré la société dans un rapport d’autopsie mercredi.
Suivie sous le nom de CVE-2022-42475, la vulnérabilité est un dépassement de mémoire tampon basé sur le tas qui permet aux pirates d’exécuter à distance du code malveillant. Il porte un indice de gravité de 9,8 sur 10 possibles. Fabricant de logiciels de sécurité réseau, Fortinet a corrigé la vulnérabilité dans la version 7.2.3 publiée le 28 novembre, mais n’a fait aucune mention de la menace dans les notes de version qu’il a publiées à la temps.
Maman est le mot
Fortinet n’a divulgué la vulnérabilité que le 12 décembre, lorsqu’il a averti que la vulnérabilité était exploitée activement contre au moins un de ses clients. La société a exhorté les clients à s’assurer qu’ils utilisaient la version corrigée du logiciel et à rechercher sur leurs réseaux des signes indiquant que la vulnérabilité avait été exploitée sur leurs réseaux. Les VPN SSL FortiOS sont principalement utilisés dans les pare-feux frontaliers, qui séparent les réseaux internes sensibles de l’Internet public.
Mercredi, Fortinet a fourni un compte rendu plus détaillé de l’activité de l’exploit et de l’acteur menaçant derrière. Le message, cependant, n’a fourni aucune explication pour l’absence de divulgation de la vulnérabilité lors de sa correction en novembre. Un porte-parole de l’entreprise a refusé de répondre aux questions envoyées par e-mail sur l’échec ou sur la politique de l’entreprise en matière de divulgation des vulnérabilités.
“La complexité de l’exploit suggère un acteur avancé et qu’il est fortement ciblé sur des cibles gouvernementales ou liées au gouvernement”, ont écrit les responsables de Fortinet dans la mise à jour de mercredi. Ils ont poursuivi :
- L’exploit nécessite une compréhension approfondie de FortiOS et du matériel sous-jacent.
- L’utilisation d’implants personnalisés montre que l’acteur a des capacités avancées, y compris la rétro-ingénierie de diverses parties de FortiOS.
- L’acteur est très ciblé, avec quelques indices de cibles gouvernementales ou liées au gouvernement préférées.
- L’échantillon Windows découvert attribué à l’attaquant affichait des artefacts ayant été compilés sur une machine dans le fuseau horaire UTC + 8, qui comprend l’Australie, la Chine, la Russie, Singapour et d’autres pays d’Asie de l’Est.
- Les certificats auto-signés créés par les attaquants ont tous été créés entre 3h00 et 8h00 UTC. Cependant, il est difficile d’en tirer des conclusions étant donné que les pirates n’opèrent pas nécessairement pendant les heures de bureau et opèrent souvent pendant les heures de bureau des victimes pour aider à masquer leur activité avec le trafic réseau général.
Une analyse effectuée par Fortinet sur l’un des serveurs infectés a montré que l’auteur de la menace a utilisé la vulnérabilité pour installer une variante d’un implant Linux connu qui avait été personnalisé pour s’exécuter sur FortiOS. Pour ne pas être détecté, le logiciel malveillant post-exploit a désactivé certains événements de journalisation une fois qu’il a été installé. L’implant a été installé dans le chemin /data/lib/libips.bak. Le fichier peut se faire passer pour une partie du moteur IPS de Fortinet, situé à /data/lib/libips.so. Le fichier /data/lib/libips.so était également présent mais avait une taille de fichier de zéro.
Publicité
Après avoir émulé l’exécution de l’implant, les chercheurs de Fortinet ont découvert une chaîne unique d’octets dans sa communication avec les serveurs de commande et de contrôle qui peuvent être utilisés pour une signature dans les systèmes de prévention des intrusions. Le tampon “x00x0Cx08http/1.1x02h2x00x00x00x14x00x12x00x00x0Fwww.example.com” (sans échappement) apparaîtra dans le paquet “Client Hello”.
D’autres signes qu’un serveur a été ciblé incluent des connexions à une variété d’adresses IP, y compris 103[.]131[.]189[.]143, et les sessions TCP suivantes :
- Connexions au FortiGate sur le port 443
- Obtenir la requête pour /remote/login/lang=en
- Demande de publication à distance/erreur
- Obtenir la demande aux charges utiles
- Connexion pour exécuter la commande sur le FortiGate
- Séance shell interactive.
L’autopsie comprend une variété d’autres indicateurs de compromission. Les organisations qui utilisent FortiOS SSL-VPN doivent le lire attentivement et inspecter leurs réseaux pour tout signe qu’ils ont été ciblés ou infectés.
Comme indiqué précédemment, l’autopsie n’explique pas pourquoi Fortinet n’a divulgué CVE-2022-42475 qu’après avoir été exploité activement. L’échec est particulièrement aigu compte tenu de la gravité de la vulnérabilité. Les divulgations sont cruciales car elles aident les utilisateurs à hiérarchiser l’installation des correctifs. Lorsqu’une nouvelle version corrige des bogues mineurs, de nombreuses organisations attendent souvent pour l’installer. Lorsqu’il corrige une vulnérabilité avec un indice de gravité de 9,8, ils sont beaucoup plus susceptibles d’accélérer le processus de mise à jour.
Au lieu de répondre aux questions sur l’absence de divulgation, les responsables de Fortinet ont fourni la déclaration suivante :
Nous nous engageons pour la sécurité de nos clients. En décembre 2022, Fortinet a diffusé un avis PSIRT (FG-IR-22-398) qui détaillait les conseils d’atténuation et recommandait les prochaines étapes concernant CVE-2022-42475. Nous avons informé les clients via le processus de conseil PSIRT et leur avons conseillé de suivre les conseils fournis et, dans le cadre de notre engagement continu envers la sécurité de nos clients, de continuer à surveiller la situation. Aujourd’hui, nous avons partagé des recherches approfondies supplémentaires concernant CVE-2022-42475. Pour plus d’informations, veuillez visiter le blog.
La société a déclaré que les charges utiles malveillantes supplémentaires utilisées dans les attaques ne pouvaient pas être récupérées.