Fortinet, une entreprise leader dans le domaine de la cybersécurité, a récemment découvert une nouvelle technique d’exploitation post-attaque utilisée par un acteur de menace. Bien que les efforts des acteurs de menace pour exploiter les vulnérabilités connues ne soient pas nouveaux, cette technique spécifique est une découverte récente. Fortinet s’engage à partager ces informations pour aider ses clients à prendre des décisions éclairées en matière de cybersécurité.

Des cybercriminels ont exploité des vulnérabilités connues dans les dispositifs FortiGate (ex. FG-IR-22-398, FG-IR-23-097, FG-IR-24-015) pour y maintenir un accès non autorisé, même après l’application des correctifs officiels.

Technique utilisée :

  • Création d’un lien symbolique malveillant dans le système de fichiers utilisateur.
  • Ce lien pointe vers le système de fichiers racine (/), ce qui permet aux attaquants de lire des fichiers sensibles, y compris des fichiers de configuration.
  • Le lien était placé dans un dossier utilisé pour les fichiers de langue du SSL-VPN.
  • Résultat : une persistance post-correctif, c’est-à-dire que l’accès malveillant subsistait même après mise à jour.

🛡️ Réaction de Fortinet

Fortinet a mis en place plusieurs contre-mesures :

  • Signatures AV/IPS pour détecter et supprimer automatiquement le lien symbolique.
  • Mise à jour de FortiOS pour bloquer ce vecteur (versions concernées ci-dessous).
  • Modification du comportement du SSL-VPN pour qu’il ne serve que les fichiers autorisés.

✅ Recommandations de sécurité

  • Mettre à jour vers l’une des versions suivantes :
    • FortiOS 7.6.2, 7.4.7, 7.2.11, 7.0.17, ou 6.4.16.
  • Examiner la configuration de tous les dispositifs.
  • Considérer les configurations comme potentiellement compromises.
  • Suivre les étapes de récupération recommandées :
    👉 Article Fortinet avec les étapes de remédiation

⚠️ Important

Les dispositifs FortiGate n’ayant jamais activé le SSL-VPN ne sont pas affectés par cette technique.

🔗 Source originale : https://www.fortinet.com/blog/psirt-blogs/analysis-of-threat-actor-activity