20 janvier 2023Ravie LakshmananPare-feu / Sécurité réseau

Vulnérabilité Du Pare-Feu Fortinet

Un acteur suspecté d’être lié à la Chine a exploité une vulnérabilité récemment corrigée dans Fortinet FortiOS SSL-VPN en tant qu’attaques zero-day ciblant une entité gouvernementale européenne et un fournisseur de services gérés (MSP) situés en Afrique.

Les preuves télémétriques recueillies par Mandiant, propriété de Google, indiquent que l’exploitation s’est produite dès octobre 2022, au moins près de deux mois avant la publication des correctifs.

« Cet incident perpétue le modèle chinois d’exploitation des appareils connectés à Internet, en particulier ceux utilisés à des fins de sécurité gérée (par exemple, pare-feu, appliances IPS\IDS, etc.) », ont déclaré les chercheurs de Mandiant. m’a dit dans un rapport technique.

Les attaques impliquaient l’utilisation d’une porte dérobée sophistiquée appelée GESTE AUDACIEUXdont une variante Linux est spécialement conçue pour fonctionner sur les pare-feu FortiGate de Fortinet.

Publicité

Le vecteur d’intrusion en question concerne l’exploitation de CVE-2022-42475, une vulnérabilité de débordement de tampon basée sur le tas dans FortiOS SSL-VPN qui pourrait entraîner l’exécution de code à distance non authentifié via des requêtes spécialement conçues.

Plus tôt ce mois-ci, Fortinet a révélé que des groupes de piratage inconnus ont profité de l’insuffisance pour cibler les gouvernements et d’autres grandes organisations avec un implant Linux générique capable de fournir des charges utiles supplémentaires et d’exécuter des commandes envoyées par un serveur distant.

Les dernières découvertes de Mandiant indiquent que l’acteur de la menace a réussi à abuser de la vulnérabilité comme un jour zéro à son avantage et à violer des réseaux ciblés pour des opérations d’espionnage.

« Avec BOLDMOVE, les attaquants ont non seulement développé un exploit, mais aussi un malware qui montre une compréhension approfondie des systèmes, des services, de la journalisation et des formats propriétaires non documentés », a déclaré la société de renseignement sur les menaces.

Le malware, écrit en C, aurait à la fois des variantes Windows et Linux, cette dernière étant capable de lire des données à partir d’un format de fichier propriétaire de Fortinet. L’analyse des métadonnées de la saveur Windows de la porte dérobée montre qu’elles ont été compilées dès 2021, bien qu’aucun échantillon n’ait été détecté dans la nature.

BOLDMOVE est conçu pour effectuer une enquête sur le système et est capable de recevoir des commandes d’un serveur de commande et de contrôle (C2) qui, à son tour, permet aux attaquants d’effectuer des opérations sur les fichiers, de créer un shell distant et de relayer le trafic via l’hôte infecté.

Un échantillon Linux étendu du malware est livré avec des fonctionnalités supplémentaires pour désactiver et manipuler les fonctionnalités de journalisation dans le but d’éviter la détection, corroborant le rapport de Fortinet.

« L’exploitation des vulnérabilités zero-day dans les dispositifs de mise en réseau, suivie de l’installation d’implants personnalisés, est cohérente avec l’exploitation chinoise précédente des dispositifs de mise en réseau », a noté Mandiant.

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.


Rate this post
Publicité
Article précédentAmazon Republic Day Sale dernier jour: iPhone 13 à Rs 61 999, iPhone 12 à 55 900 et autres offres à considérer
Article suivantLa gueule de bois du recrutement du jeudi du mercredi au whisky : quel mercredi sauvage et farfelu c’était ! Recrutement de football Ole Miss, Lane Kiffin, portail de transfert
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici