Portes dérobées « symlink » Fortinet : près de 22 000 systèmes compromis

Le 10 avril, Fortinet publiait un billet de blog lançant l’alerte : des acteurs malveillants ont, par le passé, exploité discrètement les vulnérabilités CVE-2022-42475, CVE-2023-27997, ou CVE-2024-21762, pour assurer une compromission durable de ses équipements VPN-SSL.

Le lendemain, le CERT-FR disait avoir « connaissance d'une campagne massive, avec de nombreux équipements compromis en France. Lors d'opérations de réponse à incident, le CERT-FR a pris connaissance de compromissions ayant eu lieu dès le début de l'année 2023 ». Une demi-surprise. 

L’existence de la CVE-2022-42475 a été publiquement reconnue par Fortinet le 12 décembre 2022. Son exploitation avait déjà commencé. L’information sur l’existence de la CVE-2023-27997 a commencé à se répandre durant le week-end du 10 juin 2023. Quant à la CVE-2024-21762, elle est connue publiquement depuis le mois de février 2024 ; elle était alors déjà exploitée au stade de 0day. 

Concrètement, un ou plusieurs acteurs malveillants ont profité de l’exploitation de l’une de ces vulnérabilités critiques pour créer des liens symboliques accessibles via l’interface Web exposée sur Internet des équipements VPN-SSL concernés vers des ressources internes à l’équipement. Ressources qui ne sont normalement pas accessibles depuis Internet. 

Ces liens symboliques sont placés dans le dossier contenant les fichiers de données linguistiques utilisés par l’interface Web. Ces fichiers JSON sont directement accessibles depuis Internet : créés avant l’application des correctifs et non supprimés à l’installation de ceux-ci, les liens symboliques persistent. Ironie de l’histoire, la gestion des données linguistiques était déjà au cœur d’une vulnérabilité bien plus ancienne, la CVE-2018-13379.

Comme l’explique le CERT-FR, Fortinet a « publié des versions correctives pour les branches 6.4.x, 7.0.x, 7.2.x, 7.4.x et 7.6.x. La mise à jour vers une de ces versions supprime les fichiers malveillants ».

Fortinet a supprimé automatiquement les liens symboliques malveillants pour ses clients disposant d’une licence IPS active. Il dit avoir en outre contacté les autres clients dont des équipements ont été compromis. À charge d’être suffisamment réactifs.

Onyphe.io a eu connaissance d’une méthode de détection des systèmes compromis. Un balayage global a permis d’identifier plus de 21 000 systèmes ainsi affectés, exposés sur Internet, dans le monde entier. Plus de 7,6 % d’entre eux sont en France. 

Dans un billet de blog, Patrice Auffret, créateur d’Onyphe, explique qu’il ne révèlera pas publiquement la méthode de détection : « elle pourrait permettre de prendre le contrôle des systèmes impactés et nous ne souhaitons pas armer les cybercriminels ».

Pas question, toutefois, de ne pas la partager du tout : « nous pensons que cette méthode de détection doit être partagée avec les organisations (commerciales ou non) qui le souhaitent. Toute organisation qui œuvre à la protection des entreprises contre des intrusions doit pouvoir avoir accès à cette méthode ». Et cela jusqu’aux concurrents d’Onyphe.

Comme le souligne le CERT-FR, « la simple suppression [des liens symboliques] et l’application des mises à jour ne sont pas suffisantes en cas de compromission », comme pour ces vulnérabilités qui nécessitent plus qu’un correctif. 

A fin d’investigation, il convient « d’isoler les équipements compromis du réseau et réaliser un gel de données (instantané pour les machines virtuelles, isolement de l’équipement s’il s’agit d’un équipement physique) ».

Surtout, il est essentiel de « réinitialiser tous les secrets » configurés sur les systèmes concernés, ainsi que les secrets d’authentification « susceptibles d’avoir transités sur les équipements affectés » car un tiers malveillant est susceptible d’avoir pu les intercepter.

Au-delà, il convient de « rechercher toutes traces de latéralisation sur le reste du système d’information » et d’identifier les comptes d’annuaire « qui seraient configurés sur l'équipement suspecté » avant de rechercher toute activité suspecte impliquant ces comptes et réinitialiser les secrets associés à eux.