Selon Darktrace, une campagne multi‑phases cible les appliances FortiGate via trois vulnérabilités critiques SSL‑VPN permettant une exécution de code à distance sans authentification, avec un enchaînement allant de la compromission initiale à l’escalade de privilèges et à l’accès RDP.
• Vulnérabilités exploitées et impact: les failles CVE‑2022‑42475 et CVE‑2023‑27997 (dépassement de tampon sur le tas) et CVE‑2024‑21762 (écriture hors limites dans le démon sslvpnd) sont utilisées pour obtenir une RCE sans authentification sur FortiOS SSL‑VPN et accéder de façon non autorisée à des FortiGate.
• Persistance et évasion: après l’exploitation, les attaquants mettent en place une persistance en créant des liens symboliques dans les répertoires de langues de l’SSL‑VPN afin de survivre aux correctifs et mises à jour de firmware.
• Post‑exploitation et mouvement latéral: l’activité observée inclut des requêtes HTTP vers /cgi-bin/, du scan réseau Nmap, de la reconnaissance SMB avec NTLM sur SMBv1, l’énumération DCE_RPC (plus de 300 requêtes vers l’Endpoint Mapper), la manipulation de règles de pare-feu, et un port scanning systématique (plus de 1 700 connexions) visant notamment 21, 22, 23, 80, 135, 137, 389, 443, 445, 3389.
• Aboutissement: les actions culminent par un accès RDP (sans cookies) d’environ trois heures, avec 1,5 Mo upload et 5 Mo download. 🔐🕵️♂️
TTPs observés:
- Compromission initiale via exploit SSL‑VPN (RCE sans authentification)
- Persistance par liens symboliques dans les répertoires de langue
- Manipulation de règles de pare-feu
- Scanning réseau (Nmap) et reconnaissance SMB (NTLM/SMBv1)
- Énumération DCE_RPC (Endpoint Mapper)
- Abus d’identifiants et escalade de privilèges
- Mouvement latéral et accès RDP prolongé
IOCs/artefacts techniques (issus du récit):
- Chemins HTTP: /cgi-bin/
- Protocoles/technos: SMBv1, NTLM, DCE_RPC
- Ports ciblés: 21, 22, 23, 80, 135, 137, 389, 443, 445, 3389
- Volumétries: >1 700 connexions (scan), >300 requêtes Endpoint Mapper, RDP ~3h, 1,5 Mo upload / 5 Mo download
Conclusion: il s’agit d’une analyse de menace décrivant une attaque réelle observée par Darktrace, visant à documenter la chaîne d’attaque, les vulnérabilités exploitées et les techniques employées.
🧠 TTPs et IOCs détectés
TTPs
[‘Compromission initiale via exploit SSL-VPN (RCE sans authentification)’, ‘Persistance par liens symboliques dans les répertoires de langue’, ‘Manipulation de règles de pare-feu’, ‘Scanning réseau (Nmap) et reconnaissance SMB (NTLM/SMBv1)’, ‘Énumération DCE_RPC (Endpoint Mapper)’, ‘Abus d’identifiants et escalade de privilèges’, ‘Mouvement latéral et accès RDP prolongé’]
IOCs
{‘http_paths’: [’/cgi-bin/’], ‘protocols_technologies’: [‘SMBv1’, ‘NTLM’, ‘DCE_RPC’], ’target_ports’: [21, 22, 23, 80, 135, 137, 389, 443, 445, 3389], ‘volumes’: {‘scan_connections’: ‘>1,700’, ’endpoint_mapper_requests’: ‘>300’, ‘rdp_duration’: ‘~3h’, ‘upload_volume’: ‘1.5 MB’, ‘download_volume’: ‘5 MB’}}
🔗 Source originale : https://www.darktrace.com/blog/from-exploit-to-escalation-tracking-and-containing-a-real-world-fortinet-ssl-vpn-attack