Des pirates inconnus ont exploité une faille de sécurité dans le logiciel FortiOS de Fortinet pour accéder aux données, causer la corruption du système d'exploitation et des fichiers, et potentiellement conduire à d'autres activités malveillantes.
La vulnérabilité, CVE-2022-41328, est un bogue de traversée de chemin avec un score CVSS de 6.5 qui pourrait permettre à un acteur de menace privilégié de lire et d'écrire des fichiers arbitraires. Les chercheurs de Fortinet ont déclaré que la complexité de l'exploit suggère un acteur avancé et qu'il est fortement ciblé sur des cibles gouvernementales ou liées au gouvernement..
CVE-2022-41328: Ce que l'on sait de la vulnérabilité FortiOS?
Selon le fonctionnaire Conseil Fortinet, CVE-2022-41328 est une vulnérabilité dans FortiOS ('traverser le chemin') qui restreint un chemin d'accès à un répertoire limité, et peut permettre à un attaquant privilégié de lire et d'écrire n'importe quel fichier en créant des commandes CLI spécifiques.
Les produits concernés incluent les suivants:
Version FortiOS 7.2.0 par 7.2.3
Version FortiOS 7.0.0 par 7.0.9
Version FortiOS 6.4.0 par 6.4.11
FortiOS 6.2 toutes les versions
FortiOS 6.0 toutes les versions
Fortinet a récemment publié des correctifs pour 15 les failles de sécurité, y compris CVE-2022-41328 et un grave débordement de tampon basé sur le tas impactant FortiOS et FortiProxy (CVE-2023-25610, Note CVSS: 9.3). Ces correctifs sont disponibles dans les versions 6.4.12, 7.0.10, et 7.2.4 respectivement. Après qu'un client anonyme ait fait l'expérience d'un “arrêt soudain du système et échec de démarrage consécutif” sur leurs appareils FortiGate, Fortinet a suggéré que le problème aurait pu être causé par une violation de l'intégrité.
Une attaque hautement ciblée
Une enquête plus approfondie sur l'incident a révélé que les acteurs de la menace avaient modifié l'image du micrologiciel de l'appareil pour inclure une nouvelle charge utile (“/bin/fgfm”). Ce malware était capable de contacter un serveur distant, téléchargement de fichiers, transfert de données depuis l'hôte piraté, et permettant l'accès au shell distant. Les modifications apportées au micrologiciel ont également fourni à l'attaquant un accès et un contrôle continus, et même contourné le processus de vérification du firmware au démarrage.
Fortinet a rapporté que l'attaque était “très ciblé,” avec des indications pointant vers des organisations gouvernementales ou affiliées à l'État. La complexité de l'exploit suggère que l'attaquant connaît très bien FortiOS et le matériel sous-jacent, et possède l'expertise nécessaire pour rétroconcevoir différents composants du système d'exploitation FortiOS. Il n'est pas clair si l'acteur de la menace est lié à un autre groupe d'intrusion qui a été observé exploitant une vulnérabilité dans FortiOS SSL-VPN (CVE-2022-42475) début janvier pour installer un implant Linux.