CVE-2022-42475 : comment détecter et corriger cette vulnérabilité sur FortiOS
Des milliers de vulnérabilités Fortinet non corrigées exposées Selon un rapport conjoint publié par la CISA, le FBI et l'U.S.
Cyber Command (USCYBERCOM) le 7 septembre 2023, des groupes de piratage parrainés par l'État ont récemment exploité des vulnérabilités critiques des logiciels Zoho et Fortinet pour pénétrer dans les agences aéronautiques américaines.
Les pirates ont obtenu un accès non autorisé au réseau de l’organisation en exploitant la vulnérabilité divulguée de l’application Zoho (CVE-2022-47966) et la vulnérabilité Fortinet (CVE-2022-42475). Même si les attaquants n'ont pas été définitivement identifiés, l'USCYBERCOM a indiqué que cette attaque pourrait être associée à un groupe de hackers iranien.
Exploitation de la vulnérabilité Fortinet non corrigée CVE-2022-42475 Les groupes de piratage ciblent principalement les appareils présentant des vulnérabilités non corrigées parmi ceux exposés sur Internet.
L'une des vulnérabilités exploitées dans l'attaque, CVE-2022-42475, est une vulnérabilité de type « exécution de code à distance » affectant diverses versions de Fortinet SSL-VPN. Il permet l’exécution à distance de codes ou de commandes arbitraires, ce qui constitue une menace grave.
L'exploitation de cette vulnérabilité permet aux attaquants de pénétrer plus profondément dans les systèmes internes des entreprises et des organisations via des composants d'infrastructure réseau piratés.
Après la détection de cette vulnérabilité, Fortinet a officiellement annoncé des recommandations de sécurité et des versions de correctifs. Cependant, même neuf mois après la publication du correctif, de nombreux appareils ne sont toujours pas corrigés et les pirates continuent d'exploiter cette vulnérabilité.
Présence de traces du type suivant dans les journaux FortiOS :
Logdesc="Application crashed" and msg="[...] application:sslvpnd,[...], Signal 11 received, Backtrace: [...]"Présence des artefacts suivants dans le système de fichier FortiOS :
/data/lib/libips.bak /data/lib/libgif.so /data/lib/libiptcp.so /data/lib/libipudp.so /data/lib/libjepg.so /var/.sslvpnconfigbk /data/etc/wxd.conf /flashConnexions vers les adresses IP suspectes suivantes depuis l’équipement FortiGate :
188.34.130.40:444 103.131.189.143:30080,30081,30443,20443 192.36.119.61:8443,444 172.247.168.153:8033Comment vérifier la présence des indicateurs de compromission de la CVE-2022-42475 ?
La recherche de journaux peut s’effectuer depuis la section « Log & Report » de l’interface web de votre équipement Fortigate. Utilisez alors le filtre « Log Description » pour rechercher « Application crashed » et comparez le résultat aux indicateurs mentionnés plus haut.La vérification des connexions aux adresses IP suspectes peut se faire depuis la section « Log & Report », via les sous-sections « Forward Traffic » / « Local Traffic » ou « Sniffer Traffic ». Saisissez « Destination: 172.247.168.153, 192.36.119.61, 103.131.189.143, 188.34.130.40 » et vérifiez qu’aucune entrée n’apparaît. Enfin, pour identifier la présence de fichiers suspects sur le système, ouvrez la CLI de Fortigate, puis faites une recherche de fichiers à l’aide de la commande fnsysctl.
fnsysctl ls -la /data/lib/libips.bakfnsysctl ls -la /data/lib/libgif.sofnsysctl ls -la /data/lib/libiptcp.sofnsysctl ls -la /data/lib/libipudp.sofnsysctl ls -la /data/lib/libjepg.sofnsysctl ls -la /var/.sslvpnconfigbkfnsysctl ls -la /data/etc/wxd.conffnsysctl ls -la /flash
Chaque commande doit vous renvoyer « No such file or directory ». Dans le cas contraire, c’est que l’un des fichiers suspects est présent et que votre Fortigate a peut-être été compromis.