CERTFR-2025-ALE-004_Activités de post-exploitation dans Fortinet FortiGate
Publié le 11 avril 2025 à 16h28
Objet
Activités de post-exploitation dans Fortinet FortiGate
Référence
CERTFR-2025-ALE-004
Risque
- Atteinte à la confidentialité des données
Systèmes affectés
- FortiOS versions 7.0.x antérieures à 7.0.17
- FortiOS versions 7.2.x antérieures à 7.2.11
- FortiOS versions 7.4.x antérieures à 7.4.7
- FortiOS versions 7.6.x antérieures à 7.6.2
- FortiOS versions antérieures à 6.4.16
L'éditeur indique que les clients qui n'ont jamais activé la fonctionnalité de SSL-VPN ne sont pas impactés.
Résumé
Fortinet a publié le 10 avril 2025 un billet de blogue [1] indiquant l'utilisation d'une technique de post-exploitation qui permet une atteinte à la confidentialité des données de l'ensemble du système des équipements Fortigate affectés. Cette technique repose sur l'utilisation d'un lien symbolique déposé sur le système à la suite d'une compromission de l'équipement par exploitation, entre autres, des vulnérabilités CVE-2022-42475 [2], CVE-2023-27997 [3] ou CVE-2024-21762 [4].
Le CERT-FR a connaissance d'une campagne massive, avec de nombreux équipements compromis en France. Lors d'opérations de réponse à incident, le CERT-FR a pris connaissance de compromissions ayant eu lieu dès le début de l'année 2023.
Documentation
- [1] Billet de blogue Fortinet du 10 avril 2025
- [2] Alerte CERTFR-2022-ALE-012
- [3] Alerte CERTFR-2023-ALE-004
- [4] Alerte CERTFR-2024-ALE-004
- [5] Les bons réflexes en cas d’intrusion sur un système d’information
- Documentation 230694 relative aux actions à suivre en cas de compromission