Des hackers chinois exploitent une vulnérabilité zero-day de Fortinet pour récolter des identifiants VPN

Des chercheurs en cybersécurité de Volexity ont récemment rapporté qu’un acteur de menace affilié à l’État chinois a exploité une vulnérabilité zero-day non corrigée dans le client VPN Windows de Fortinet, FortiClient, pour voler des identifiants VPN sensibles directement depuis la mémoire.

‘BrazenBamboo,’ l’acteur de menace soupçonné d’être sponsorisé par l’État chinois, est attribué au développement de ‘DEEPDATA,’ un malware modulaire de post-exploitation pour le système d’exploitation Windows qui peut extraire des identifiants, enregistrer de l’audio et collecter des informations à partir de diverses applications.

Volexity suit également BrazenBamboo en tant que développeur d’autres familles de malware, telles que LIGHTSPY et DEEPPOST. Cependant, la société a ajouté qu’elle ne les lie pas nécessairement aux opérateurs qui les utilisent, car il pourrait y avoir plusieurs utilisateurs.

Lors de l’analyse de la famille de malware DEEPDATA, les chercheurs en sécurité ont découvert que le plugin spécialisé de FortiClient du malware exploitait la vulnérabilité en extrayant des identifiants sensibles tels que des noms d’utilisateur, des mots de passe, des passerelles distantes et des ports stockés dans des objets JSON au sein de la mémoire du processus du client VPN FortiClient.

Selon des experts en cybersécurité, le cadre DEEPDATA dépend d’un composant de bibliothèque dynamique (DLL) central, “data.dll,” qui est conçu pour déchiffrer et exécuter jusqu’à 12 plugins uniques via un orchestrateur pour l’exécution des plugins nommé “frame.dll.”

Parmi ces plugins se trouve un DLL “FortiClient” nouvellement identifié, capable d’extraire des identifiants et des informations sur le serveur à partir de la mémoire du processus des processus VPN FortiClient.

“Volexity a trouvé que le plugin FortiClient était inclus par le biais d’une bibliothèque avec le nom de fichier msenvico.dll. Ce plugin a été trouvé pour exploiter une vulnérabilité zero-day dans le client VPN Fortinet sur Windows qui lui permet d’extraire les identifiants de l’utilisateur de la mémoire du processus du client,” ont écrit les chercheurs en sécurité Callum Roxan, Charlie Gardner et Paul Rascagneres dans un article de blog technique vendredi.

Les techniques appliquées par ce plugin ressemblent à une vulnérabilité similaire découverte en 2016, dans laquelle des identifiants pouvaient être découverts dans la mémoire en fonction d’offsets codés en dur.

Cependant, Volexity a confirmé que la vulnérabilité de 2024 est nouvelle et présente dans la version 7.4.0 de FortiClient, qui était la dernière version au moment de la découverte de la faille.

La société de cybersécurité a signalé la vulnérabilité de divulgation d’identifiants à Fortinet le 18 juillet 2024, qui a été reconnue le 24 juillet 2024. Cependant, le problème reste non corrigé à ce jour, et aucun CVE ne lui a été attribué.

“L’analyse de Volexity fournit des preuves que BrazenBamboo est un acteur de menace bien doté en ressources qui maintient des capacités multi-plateformes avec une longévité opérationnelle. L’étendue et la maturité de leurs capacités indiquent à la fois une fonction de développement capable et des exigences opérationnelles motivant la production de développement,” note la société de cybersécurité.

En plus de DEEPDATA, BrazenBamboo a également développé DEEPPOST, un outil d’exfiltration de données de post-exploitation pour envoyer des fichiers à un système distant en utilisant HTTPS.

DEEPDATA et DEEPPOST, ainsi que LIGHTSPY, une famille de malware multi-plateforme connue pour cibler plusieurs systèmes d’exploitation, y compris iOS et Windows, mettent en avant les capacités avancées et puissantes d’espionnage cybernétique de l’acteur de menace et le risque posé aux systèmes non corrigés et aux données sensibles des utilisateurs.

Jusqu’à ce que Fortinet reconnaisse officiellement la vulnérabilité signalée et déploie un correctif de sécurité, il est conseillé de limiter l’accès VPN et de surveiller l’activité de connexion pour toute irrégularité.

Les organisations qui dépendent des solutions Fortinet sont encouragées à rester vigilantes, car la faille pourrait exposer des identifiants sensibles si elle est exploitée.