Vulnérabilité dans Fortinet FortiOS – CERT-FR
Alerte Cyber

Vulnérabilité dans Fortinet FortiOS – CERT-FR

artia13 11 Views

Résumé

Le 07 mars 2023, Fortinet a publié un avis de sécurité détaillant
l’existence d’une vulnérabilité de type traversée de chemin (path
traversal) permettant à un attaquant authentifié avec un compte à
privilèges de lire et d’écrire des fichiers arbitrairement au travers de
l’interface en ligne de commande.

Le 09 mars 2023, Fortinet a publié un billet sur son blog détaillant
l’analyse de la compromission de plateformes de pare-feux FortiGate avec
le système FortiOS par l’exploitation de la vulnérabilité CVE-2022-41328
détaillé dans l’avis FG-IR-22-369.

Fortinet indique que cette vulnérabilité est activement exploitée dans
le cadre d’attaques ciblées. C’est lors d’une réponse à incident
impliquant des pare-feux FortiGate gérés par une console FortiManager
que les équipes de Fortinet ont pu identifier les informations
ci-dessous :

  • Le vecteur de compromission initial semble provenir de la console
    FortiManager, ceci est déduit par la temporalité et la ressemblance
    des attaques simultanées sur différents pare-feux gérés par la même
    console ;
  • Le fichier /sbin/init est modifié et le fichier /bin/fgfm est
    créé, notamment pour assurer la persistance et ajouter des
    fonctionnalités de contrôle ;
  • Dans les cas connus de l’éditeur, les pare-feux impactés ont été
    brutalement arrêtés et leur redémarrage a été empêché par une
    protection du système contre la modification du microgiciel (option
    FIPS).

Remarque : les moyens ayant permis la prise de contrôle de la console
FortiManager ne sont pas précisés par l’éditeur  (vols d’identifiants,
exploitation d’une vulnérabilité précédente, …).

Pour rappel, le
CERT-FR recommande de mettre en place une infrastructure sécurisée pour
l’administration des équipements et des services [1].

Solution

Le CERT-FR recommande fortement d’appliquer les correctifs fournis par
l’éditeur, se référer à l’avis émis par le CERT-FR [2] pour plus
d’informations.

L’application seule des correctifs n’est pas suffisante puisque les
attaquants disposent de moyens de persistance leur permettant de se
connecter ultérieurement au système.

Il est recommandé d’effectuer une analyse des systèmes FortiGate et
FortiManager, notamment à l’aide des indicateurs de compromission
fournis par l’éditeur dans son billet de blog et dans les précédents
avis de sécurité émis. Ces marqueurs sont donnés à titre indicatif et
n’ont pas été vérifiés par le CERT-FR.

Auteur :

Aller à la source

artia13

Depuis 1998, je poursuis une introspection constante qui m’a conduit à analyser les mécanismes de l’information, de la manipulation et du pouvoir symbolique. Mon engagement est clair : défendre la vérité, outiller les citoyens, et sécuriser les espaces numériques. Spécialiste en analyse des médias, en enquêtes sensibles et en cybersécurité, je mets mes compétences au service de projets éducatifs et sociaux, via l’association Artia13. On me décrit comme quelqu’un de méthodique, engagé, intuitif et lucide. Je crois profondément qu’une société informée est une société plus libre.

artia13 has 4499 posts and counting. See all posts by artia13

Vous Aimerez Peut-être Aussi

Pour Proton, le combo Gmail + Calendar + Gemini, c'est l'enfer (pour vos données personnelles)

Pour Proton, le combo Gmail + Calendar + Gemini, c'est l'enfer (pour vos données personnelles)

artia13
Ils ont détourné des salaires en piratant… les résultats de recherche Google sur mobile

Ils ont détourné des salaires en piratant… les résultats de recherche Google sur mobile

artia13
Vulnérabilité dans Fortinet FortiOS – CERT-FR

Ruby-SAML/GitLab – CVE-2025-25291

artia13