Résumé

Le 07 mars 2023, Fortinet a publié un avis de sécurité détaillantl’existence d’une vulnérabilité de type traversée de chemin (pathtraversal) permettant à un attaquant authentifié avec un compte àprivilèges de lire et d'écrire des fichiers arbitrairement au travers del'interface en ligne de commande.

Le 09 mars 2023, Fortinet a publié un billet sur son blog détaillantl'analyse de la compromission de plateformes de pare-feux FortiGate avecle système FortiOS par l'exploitation de la vulnérabilité CVE-2022-41328détaillé dans l'avis FG-IR-22-369.

Fortinet indique que cette vulnérabilité est activement exploitée dansle cadre d'attaques ciblées. C'est lors d'une réponse à incidentimpliquant des pare-feux FortiGate gérés par une console FortiManagerque les équipes de Fortinet ont pu identifier les informationsci-dessous :

• Le vecteur de compromission initial semble provenir de la consoleFortiManager, ceci est déduit par la temporalité et la ressemblancedes attaques simultanées sur différents pare-feux gérés par la mêmeconsole ;
• Le fichier /sbin/init est modifié et le fichier /bin/fgfm estcréé, notamment pour assurer la persistance et ajouter desfonctionnalités de contrôle ;
• Dans les cas connus de l'éditeur, les pare-feux impactés ont étébrutalement arrêtés et leur redémarrage a été empêché par uneprotection du système contre la modification du microgiciel (optionFIPS).

Remarque : les moyens ayant permis la prise de contrôle de la consoleFortiManager ne sont pas précisés par l'éditeur  (vols d'identifiants,exploitation d'une vulnérabilité précédente, ...).

Pour rappel, leCERT-FR recommande de mettre en place une infrastructure sécurisée pourl'administration des équipements et des services [1].