Piratage de VPN Fortinet par la Chine : plus de 20 000 systèmes compromis
Récemment, des hackers chinois ont exploité une vulnérabilité critique dans les VPN Fortinet, affectant plus de 20 000 systèmes à travers le monde.
Recevez les infos de la semaine ZATAZ, chaque samedi, par courriel.
Ce piratage de grande ampleur, révélé par les services de renseignement militaires néerlandais (MIVD), met en lumière la sophistication et la persistance des cyberattaques orchestrées par des acteurs étatiques chinois. La vulnérabilité, identifiée comme CVE-2022-42475, est une faille de débordement de mémoire tampon qui permet aux attaquants d’exécuter du code à distance sur les appareils Fortinet non patchés.
Découverte et exploitée dès octobre 2022, cette faille a permis aux pirates informatiques de déployer des logiciels malveillants avant même que Fortinet ne publie des correctifs en décembre de la même année.
Parmi les victimes figurent de nombreuses organisations gouvernementales, des entreprises du secteur de la défense et d’autres institutions critiques en Europe et en Afrique. Les attaquants ont utilisé des malwares sophistiqués, capables de survivre aux redémarrages et aux mises à jour des systèmes, leur permettant de maintenir un accès permanent et non détecté aux réseaux compromis.
Réaction et mesures de sécurité
Les agences de sécurité, dont le FBI et le CISA, ont travaillé conjointement pour analyser l’attaque et fournir des recommandations de sécurité. Elles ont publié des conseils détaillés pour détecter et atténuer les infections, incluant l’examen des connexions HTTPS suspectes et la surveillance des dates de modification des fichiers système. Des acteurs de menaces persistantes avancées (APT) ont exploité des vulnérabilités dans Zoho ManageEngine et les produits VPN Fortinet pour infiltrer une organisation du secteur aéronautique en janvier 2023.
La faille Zoho (CVE-2022-47966) permettait l’exécution de code à distance, tandis que la vulnérabilité Fortinet (CVE-2022-42475) affectait donc les versions SSL-VPN de FortiOS et FortiProxy. Ces attaques ont permis aux hackers d’obtenir des accès administratifs, de déployer des logiciels malveillants et de déplacer latéralement dans le réseau, compromettant potentiellement des informations sensibles. (TT)