Les cyberattaquants continuent d'attaquer les appareils Fortinet

Début mars, un client a appelé l'équipe de réponse aux incidents de Fortinet lorsque plusieurs appliances de sécurité FortiGate ont cessé de fonctionner, passant en mode erreur après que le micrologiciel ait échoué à un auto-test d'intégrité.

Il s'agissait d'une cyberattaque, qui a conduit à la découverte de la dernière vulnérabilité des appareils Fortinet, un bogue de gravité moyenne mais hautement exploitable (CVE-2022-41328) qui permet à un attaquant privilégié de lire et d'écrire des fichiers. Le groupe de menaces, que Fortinet a qualifié d '«acteur avancé», semblait cibler des agences gouvernementales ou des organisations liées au gouvernement, a déclaré la société dans une analyse récente de l'attaque.

Pourtant, l'incident montre également que les attaquants accordent une attention particulière aux appareils Fortinet. Et la surface d'attaque est large : jusqu'à présent cette année, 60 vulnérabilités des produits Fortinet ont reçu des CVE et publié dans la base de données nationale sur les vulnérabilités, double le taux auquel des failles ont été divulguées dans les appareils Fortinet au cours de l'année de pointe précédente, 2021.CVE-2023-25610) pourrait permettre à un attaquant distant non authentifié d'exécuter n'importe quel code sur une variété d'appliances.

L'intérêt est également élevé. En novembre, par exemple, une entreprise de sécurité a averti qu'un groupe cybercriminel vendait l'accès pour compromettre les appareils FortiOS sur un forum russe du Dark Web. Mais que les vulnérabilités aient attiré l'attention, ou vice versa, est discutable, déclare David Maynor, directeur principal du renseignement sur les menaces chez Cybrary, une entreprise de formation en sécurité.

"Les attaquants sentent le sang dans l'eau", dit-il. « Le nombre et la fréquence des vulnérabilités exploitables à distance au cours des deux dernières années ont augmenté à une vitesse vertigineuse. S'il existe un groupe d'États-nations qui n'intègre pas les exploits de Fortinet, il s'attarde au travail.

Comme d'autres appliances de sécurité réseau, les appareils Fortinet se trouvent au point critique entre Internet et les réseaux ou applications internes, ce qui en fait une cible précieuse à compromettre pour les attaquants cherchant à pénétrer dans les réseaux d'entreprise, a déclaré l'équipe de recherche de la société de renseignement sur les menaces GreyNoise Research dans un communiqué. entretien par e-mail avec Dark Reading.

"Une grande majorité des appareils Fortinet sont des appareils périphériques et, par conséquent, sont généralement connectés à Internet", a déclaré l'équipe. "Cela est vrai pour tous les appareils de périphérie. Si un attaquant va passer par l'effort d'une campagne d'exploitation, le volume d'appareils périphériques fait [s] pour une cible précieuse.

Les chercheurs ont également averti que Fortinet n'est probablement pas le seul dans le collimateur des attaquants.

"Tous les appareils périphériques de tous les fournisseurs auront des vulnérabilités tôt ou tard", a déclaré GreyNoise Research.

Attaque Fortinet détaillée

Fortinet a décrit en détail l'attaque contre les appareils de ses clients dans son avis. Les attaquants avaient utilisé la vulnérabilité pour modifier le micrologiciel de l'appareil et ajouter un nouveau fichier de micrologiciel. Les attaquants ont eu accès aux appareils FortiGate via le logiciel FortiManager et ont modifié le script de démarrage des appareils pour maintenir la persistance.

Le micrologiciel malveillant aurait pu permettre l'exfiltration de données, la lecture et l'écriture de fichiers, ou donner à l'attaquant un shell distant, selon la commande que le logiciel a reçue du serveur de commande et de contrôle (C2), a déclaré Fortinet. Plus d'une demi-douzaine d'autres fichiers ont également été modifiés.

L'analyse de l'incident manquait cependant de plusieurs informations essentielles, telles que la manière dont les attaquants ont obtenu un accès privilégié au logiciel FortiManager et la date de l'attaque, entre autres détails. 

Contactée, la société a publié une déclaration en réponse à une demande d'interview : « Nous avons publié un avis PSIRT (FG-IR-22-369) le 7 mars, ces détails recommandaient les prochaines étapes concernant CVE-2022-41328 », a déclaré la société. "Dans le cadre de notre engagement continu envers la sécurité de nos clients, Fortinet a partagé des détails et des analyses supplémentaires dans le billet de blog du 9 mars et continuez à conseiller aux clients de suivre les conseils fournis.

Dans l'ensemble, en trouvant et en divulguant la vulnérabilité et en publiant une analyse de leur réponse à l'incident, Fortinet fait ce qu'il faut, a déclaré l'équipe de GreyNoise Research à Dark Reading.

"Ils ont publié une analyse détaillée deux jours plus tard, comprenant un résumé analytique, ainsi qu'un grand nombre de détails précis sur la nature de la vulnérabilité et l'activité de l'attaquant, fournissant aux défenseurs [avec] des renseignements exploitables", a déclaré l'équipe. . "Fortinet a choisi de communiquer de manière claire, opportune et précise sur cette vulnérabilité."

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• Platoblockchain. Intelligence métaverse Web3. Connaissance Amplifiée. Accéder ici.
• La source: https://www.darkreading.com/vulnerabilities-threats/cyberattackers-continue-assault-against-fortinet-devices