News
Recherches Mandiant et vulnérabilité Fortinet : le commentaire de Tenable
janvier 2023 par Mandiant
Les chercheurs en sécurité de Mandiant suivent une nouvelle campagne présumée de type China-nexus dans laquelle les attaquants exploitent une vulnérabilité récemment annoncée dans le FortiOS SSL-VPN de Fortinet, CVE-2022-42475, comme étant une faille zero-day. Le commentaire de Satnam Narang, Senior Staff Research Engineer chez Tenable, à ce sujet :
« Depuis 2019, nous avons observé une exploitation persistante des vulnérabilités SSL-VPN de Citrix, Pulse Secure et Fortinet par divers attaquants, qu’il s’agisse d’affiliés à des groupes de ransomwares, de menaces persistantes avancées ou d’acteurs étatiques alignés sur des pays comme la Russie, l’Iran et la Chine. »
« La nature publique de ces actifs en fait des cibles parfaites pour les attaques. Sur le plan financier, l’investissement dans le développement ou l’acquisition de vulnérabilités de type "zero-day" est certainement plus élevé, alors que l’utilisation de codes d’exploitation publiquement disponibles pour les vulnérabilités existantes ne coûte rien. En ce sens, il est surprenant de voir un acteur national ayant des liens avec la Chine exploiter une faille zero-day, mais ce n’est pas inattendu. »
« Les organisations qui utilisent des logiciels SSL-VPN devraient donner la priorité à l’application de correctifs à ces dispositifs en temps opportun afin de limiter la fenêtre d’exploitation pour les attaquants opportunistes, tout en veillant à ce qu’un solide programme de réponse aux incidents soit en place pour répondre aux incidents de sécurité. »
Pour rappel, Claire Tills, Senior Research Engineer chez Tenable, avait déjà mis en garde contre cette faille en décembre dernier :
« Trois jours après sa divulgation publique initiale, Fortinet a corrigé la CVE-2022-42475 et confirmé qu’elle est connue dans la nature. La faille critique est un buffer overflow qui pourrait conduire à une exécution de code à distance dans plusieurs versions de ForiOS utilisées dans les VPN SSL et les pare-feu. »
« Les VPN SSL de Fortinet sont une cible majeure depuis des années - à tel point que le FBI et la CISA ont publié un avis dédié à ces failles et à leur exploitation en 2021. Les acteurs de l’État-nation sont toujours connus pour exploiter ces vulnérabilités héritées des VPN SSL de Fortinet. Étant donné que cette nouvelle vulnérabilité a déjà été exploitée, les organisations devraient corriger CVE-2022-42475 immédiatement avant qu’elle ne rejoigne les rangs des autres failles VPN héritées. »
