Support technique
Documentation
Connexion
Nous contacter
Des pirates chinois continuent d'exploiter la faille corrigée de Fortinet
Le 2 février 2023 - L'équipe de relations publiques de TuxCare
Des pirates chinois ont été découverts en train d'utiliser une faille récemment découverte dans le logiciel FortiOS de Fortinet comme une vulnérabilité de type zero-day pour distribuer des logiciels malveillants.
CVE-2022-42475 (score CVSS de 9.8) est une vulnérabilité de débordement de tampon qui pourrait être exploitée par des attaquants distants non authentifiés pour exécuter du code ou des commandes via des requêtes élaborées. Les versions 7.2.0 - 7.2.2, 7.0.0 - 7.0.8, 6.4.0 - 6.4.10, 6.2.0 - 6.2.11, et 6.0.15 et antérieures de FortiOS SSL-VPN, ainsi que les versions 7.2.0 - 7.2.1, et 7.0.7 et antérieures de FortiProxy SSL-VPN, sont affectées par cette faille.
Le nouveau malware a été identifié comme étant "BOLDMOVE" par Mandiant. L'entreprise a ajouté qu'elle avait découvert une variante Windows de BOLDMOVE ainsi qu'une variante Linux spécialement conçue pour fonctionner sur les pare-feu FortiGate. Les pirates, dont on pense qu'ils sont parrainés par l'État, exploitent cette vulnérabilité pour diffuser des logiciels malveillants et accéder à des données sensibles.
BOLDMOVE est destiné à effectuer une enquête sur le système et est capable de recevoir des commandes d'un serveur de commande et de contrôle (C2), permettant aux attaquants d'effectuer des opérations sur les fichiers, de lancer un shell à distance et de relayer le trafic à travers l'hôte infecté.
"Nous pensons qu'il s'agit de la dernière en date d'une série d'opérations de cyberespionnage chinoises qui ont ciblé des dispositifs tournés vers l'Internet et nous prévoyons que cette tactique continuera d'être le vecteur d'intrusion de choix pour les groupes chinois disposant de ressources suffisantes", a déclaré Mandiant sur son site Web.
"Avec BOLDMOVE, les attaquants n'ont pas seulement développé un exploit, mais un logiciel malveillant qui montre une compréhension approfondie des systèmes, des services, de la journalisation et des formats propriétaires non documentés", a déclaré la société de renseignement sur les menaces.
Mandiant a déclaré ne pas avoir observé directement l'exploitation de la vulnérabilité ; toutefois, des échantillons de la variante Linux de BOLDMOVE comportent une adresse IP C2 codée en dur que Fortinet a identifiée comme étant impliquée dans l'exploitation, ce qui implique que la CVE-2022-49475 a été exploitée pour fournir BOLDMOVE. Mandiant a également révélé une version Windows en plus de la version Linux. BOLDMOVE pour Windows semble avoir été compilé dès 2021. Cependant, Mandiant n'a pas vu ce malware en action, on ignore donc comment il a été utilisé. Ce post comprend une analyse approfondie du malware.
Le logiciel malveillant, écrit en C, existerait à la fois sous Windows et sous Linux, ce dernier étant capable de lire les données d'un format de fichier exclusif à Fortinet. Les variantes Windows de la porte dérobée ont été compilées dès 2021, selon l'analyse des métadonnées, mais aucun échantillon n'a été trouvé dans la nature.
Les sources de cet article comprennent un article de BleepingComputer.
