Piratage massif en cours ciblant les Firewalls Fortinet

Attention ! technologie très présente en France et en Polynésie française

Une campagne d'attaque cible la France via l'exploitation de vulnérabilités corrigées affectant Fortinet (CVE-2022-42475, CVE-2023-27997 et CVE-2024-21762)


L'attaque concerne spécifiquement les versions FortiOS 7.0.x antérieures à 7.0.17, 7.2.x antérieures à 7.2.11, 7.4.x antérieures à 7.4.7, 7.6.x antérieures à 7.6.2, ainsi que toutes les versions antérieures à 6.4.16. 


Seuls les dispositifs ayant activé la fonctionnalité SSL-VPN sont vulnérables, mais cela représente tout de même une part considérable du parc installé en France.


Versions vulnérables

FortiOS 7.0.x < 7.0.17

FortiOS 7.2.x < 7.2.11

FortiOS 7.4.x < 7.4.7

FortiOS 7.6.x < 7.6.2

FortiOS < 6.4.16



Description de l'attaque


Le 10 avril 2025, les chercheurs de Fortinet et du CERT-FR ont révélé l'exploitation de trois vulnérabilités déjà corrigées affectant Fortinet dans des campagnes massives, dont certaines ciblant la France. 


Référencées CVE-2022-42475, CVE-2023-27997 et CVE-2024-21762, ces vulnérabilités, disposant d'un code d'exploitation disponible publiquement, ont été instrumentalisées via une nouvelle technique permettant d'accéder aux informations sensibles de l'ensemble du système des équipements Fortigate. 


Les attaquants utilise l'une de ces failles de sécurité pour compromettre les équipements Fortigate. 


L'accès obtenu est ensuite utilisé pour déposer un lien symbolique permettant de relier le système de fichiers de l'utilisateur et le système de fichiers racine dans un dossier utilisé pour servir de fichiers de langue pour le VPN SSL. 


Cette activité malveillante, opérée dans le système de fichiers de l'utilisateur, ne sera pas été détectée même si l'appareil intègre les derniers correctifs pour ces vulnérabilités. 


Attention donc ! 

L'attaquant peut donc rester présent sur votre firewall même après l'application du patch.

La technique du lien symbolique permettant aux attaquants de maintenir un accès aux fichiers du système.



Que faire  ?


  • Désactiver l'usage du VPN sur le Firewall tant qu’il na été patchés et vérifiés.


  • Migrer vers les versions 7.6.2, 7.4.7, 7.2.11, 7.0.17 ou 6.4.16. 


  • Assurez vous, de préférence par un tier, que la correction est bien appliquée et qu'il ne reste pas de trace et de persistance de l'attaque



Pour les utilisateurs ayant un contrat de support et une licence IPS activée, Fortinet a supprimé automatiquement les fichiers malveillants. 


Toutefois, le CERT-FR a connaissance de nombreux équipements pour lesquels ces conditions ne sont pas réunies. 


En outre, l'application de ces différentes solutions n'étant pas suffisante en cas de compromission, l'agence française propose des solutions de contournement à mettre en place (voir lien ci dessous).


TE RAMA peut vous aider pour être sûr que le firewall n'est pas ou n'est plus compromis.

Contactez nous : csirt@terama.pf



Qui est derrière cette attaque ?

L'exploitation de ces vulnérabilités n'est pas nouvelle, la CVE-2022-42475 avait été exploitée comme 0-day en décembre 2022 pour distribuer la backdoor BoldMove. 


Bien que l'acteur de la menace n'ait pas été identifié pour cette campagne, plusieurs modes opératoires APT ont massivement exploité ces vulnérabilités par le passé et plus particulièrement ceux associés à la Chine, à l'image de MirrorFace ciblant le Japon ou de Flax Typhoon pour développer son botnet Raptor Train.



Références

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2025-ALE-004/

https://www.fortinet.com/blog/psirt-blogs/analysis-of-threat-actor-activity



Références CVE


CVE-2022-42475 - CVSS : 9.8 

CVE-2023-27997 - CVSS : 9.8 

CVE-2024-21762 - CVSS : 9.8 


Piratage massif en cours ciblant les Firewalls Fortinet
TE RAMA, Jean-Pierre Claude (G) 14 avril 2025
Partager cet article
Étiquettes
cyber veille Vulnérabilité
Nos blogs