Résumé
Le 07 mars 2023, Fortinet a publié un avis de sécurité détaillant
l’existence d’une vulnérabilité de type traversée de chemin (path
traversal) permettant à un attaquant authentifié avec un compte à
privilèges de lire et d'écrire des fichiers arbitrairement au travers de
l'interface en ligne de commande.
Le 09 mars 2023, Fortinet a publié un billet sur son blog détaillant
l'analyse de la compromission de plateformes de pare-feux FortiGate avec
le système FortiOS par l'exploitation de la vulnérabilité CVE-2022-41328
détaillé dans l'avis FG-IR-22-369.
Fortinet indique que cette vulnérabilité est activement exploitée dans
le cadre d'attaques ciblées. C'est lors d'une réponse à incident
impliquant des pare-feux FortiGate gérés par une console FortiManager
que les équipes de Fortinet ont pu identifier les informations
ci-dessous :
- Le vecteur de compromission initial semble provenir de la console
FortiManager, ceci est déduit par la temporalité et la ressemblance
des attaques simultanées sur différents pare-feux gérés par la même
console ;
- Le fichier /sbin/init est modifié et le fichier /bin/fgfm est
créé, notamment pour assurer la persistance et ajouter des
fonctionnalités de contrôle ;
- Dans les cas connus de l'éditeur, les pare-feux impactés ont été
brutalement arrêtés et leur redémarrage a été empêché par une
protection du système contre la modification du microgiciel (option
FIPS).
Remarque : les moyens ayant permis la prise de contrôle de la console
FortiManager ne sont pas précisés par l'éditeur (vols d'identifiants,
exploitation d'une vulnérabilité précédente, ...).
Pour rappel, le
CERT-FR recommande de mettre en place une infrastructure sécurisée pour
l'administration des équipements et des services [1].
Solution
Le CERT-FR recommande fortement d’appliquer les correctifs fournis par
l’éditeur, se référer à l’avis émis par le CERT-FR [2] pour plus
d’informations.
L'application seule des correctifs n'est pas suffisante puisque les
attaquants disposent de moyens de persistance leur permettant de se
connecter ultérieurement au système.
Il est recommandé d'effectuer une analyse des systèmes FortiGate et
FortiManager, notamment à l'aide des indicateurs de compromission
fournis par l'éditeur dans son billet de blog et dans les précédents
avis de sécurité émis. Ces marqueurs sont donnés à titre indicatif et
n'ont pas été vérifiés par le CERT-FR.