Vulnérabilité Zero-Day Ciblant les Pare-feu Fortinet FortiGate

La société de cybersécurité Arctic Wolf a révélé vendredi que des acteurs malveillants ont récemment ciblé des dispositifs de pare-feu Fortinet FortiGate avec des interfaces de gestion exposées sur Internet public dans le cadre d’une campagne suspectée de zero-day.

Selon les chercheurs d’Arctic Wolf Labs, l’activité malveillante contre les pare-feu Fortinet a commencé à la mi-novembre 2024. Des acteurs de menace inconnus ont modifié les configurations des pare-feu en accédant aux interfaces de gestion des pare-feu affectés et en extrayant des identifiants en utilisant DCSync dans des environnements compromis.

« La campagne impliquait des connexions administratives non autorisées sur les interfaces de gestion des pare-feu, la création de nouveaux comptes, l’authentification SSL VPN via ces comptes, et divers autres changements de configuration », ont écrit les chercheurs en sécurité d’Arctic Wolf dans un article de blog publié la semaine dernière.

Bien que le vecteur d’accès initial utilisé dans cette campagne reste actuellement inconnu, Arctic Wolf Labs est très confiant qu’une « campagne d’exploitation massive » d’une vulnérabilité zero-day est probable, compte tenu des délais restreints dans les organisations affectées et de la gamme de versions de firmware touchées.

Les versions de firmware allant de 7.0.14 à 7.0.16 ont été principalement affectées, qui ont été publiées en février 2024 et octobre 2024 respectivement.

Arctic Wolf Labs a actuellement identifié quatre phases d’attaque distinctes de la campagne qui ont ciblé des dispositifs FortiGate vulnérables entre novembre 2024 et décembre 2024 :

Phase 1 : Analyse de vulnérabilité (16 novembre 2024 au 23 novembre 2024)

Phase 2 : Reconnaissance (22 novembre 2024 au 27 novembre 2024)

Phase 3 : Configuration SSL VPN (4 décembre 2024 au 7 décembre 2024)

Phase 4 : Mouvement latéral (16 décembre 2024 au 27 décembre 2024)

Dans la première phase, les acteurs de menace ont effectué des analyses de vulnérabilité et ont utilisé des sessions jsconsole avec des connexions vers et depuis des adresses IP inhabituelles, telles que des adresses de boucle (par exemple, 127.0.0.1) et des résolveurs DNS populaires, y compris Google Public DNS et Cloudflare, les rendant ainsi une cible idéale pour la chasse aux menaces.

Dans la phase de reconnaissance, les attaquants ont effectué les premiers changements de configuration non autorisés dans plusieurs organisations victimes pour vérifier s’ils avaient réussi à obtenir l’accès pour effectuer des changements sur les pare-feu exploités.

Au cours de la troisième phase de la campagne, les acteurs de menace ont apporté des changements substantiels aux dispositifs compromis pour établir un accès SSL VPN.

Dans certaines intrusions, ils ont créé de nouveaux comptes super administrateurs, tandis que dans d’autres, ils ont détourné des comptes existants pour obtenir un accès SSL VPN. Les acteurs de menace ont également créé de nouveaux portails SSL VPN où les comptes utilisateurs ont été ajoutés directement.

Dans la dernière phase, après avoir réussi à obtenir un accès SSL VPN dans l’environnement de l’organisation victime, les acteurs de menace ont utilisé la technique DCSync pour extraire des identifiants pour le mouvement latéral.

Selon la société de cybersécurité, les acteurs de menace ont été retirés des systèmes affectés avant de pouvoir procéder.

Arctic Wolf Labs a informé Fortinet de l’activité observée dans cette campagne le 12 décembre 2024. FortiGuard Labs PSIRT a confirmé le 17 décembre 2024 qu’il est au courant de l’activité connue et qu’il enquête activement sur le problème.

Pour se protéger contre de tels problèmes de sécurité connus, Arctic Wolf Labs recommande aux organisations de désactiver immédiatement l’accès de gestion de leur pare-feu sur les interfaces publiques et de limiter l’accès aux utilisateurs de confiance.

Il conseille également de mettre régulièrement à jour le firmware des dispositifs de pare-feu vers la dernière version pour se protéger contre les vulnérabilités connues.