Campagne active de post-exploitation sur équipements Fortinet FortiGate
avril 15, 2025
1 minute de lecture
Les équipements Fortinet utilisant FortiOS ont connu de multiples vulnérabilités critiques ces dernières années, entraînant souvent la compromission totale de l’équipement. Toutes ces vulnérabilités ont été corrigées via des mises à jour de FortiOS.
Cependant, le CERT-FR et Fortinet alertent sur une campagne massive de post-exploitation des équipements FortiGate permettant de conserver un accès en lecture seule sur les appareils compromis, même ceux ayant été patchés!
En effet, le 10 avril 2025, Fortinet a publié un billet de blog détaillant une technique reposant sur le dépôt d’un lien symbolique sur les systèmes affectés. Ce lien symbolique peut avoir été laissé en place, permettant à l’acteur malveillant de conserver un accès en lecture seule à certains fichiers du système, y compris potentiellement les fichiers de configuration.
Pour les clients avec un contrat de support et la licence IPS activée, Fortinet a procédé à une suppression automatique des fichiers malveillants.
Cependant, la simple suppression de ces éléments et l’application des mises à jour n’est pas suffisante en cas de compromission. Dans cette situation, consultez le bulletin d’alerte du CERT-FR pour les consignes de remédiation :
Vulnérabilités exploitées (entre autres)
- CVE-2022-42475
- CVE-2023-27997
- CVE-2024-21762
Versions vulnérables
- FortiOS < 6.4.16
- FortiOS < 7.0.17 / 7.2.11 / 7.4.7 / 7.6.2
Fortinet a contacté les clients concernés. Pensez à vérifier vos boîtes mail de contact ou à relayer l’information à votre équipe en charge des équipements.
Partager :