Une nouvelle vulnérabilité dans le VPN SSL FortiOS de Fortinet permet l'exécution de code à distance. Tenable a commenté l'exploitation de la vulnérabilité par des attaquants parrainés par l'État liés à des pays tels que la Russie, l'Iran et la Chine.
Les chercheurs en sécurité de Mandiant suivent une nouvelle campagne de cyberattaques dans laquelle des attaquants exploitent au jour le jour une vulnérabilité récemment révélée dans le VPN SSL FortiOS de Fortinet, CVE-2022-42475. Découvrir ou se procurer une vulnérabilité zero-day est généralement une entreprise coûteuse, il est donc surprenant mais pas inattendu qu'un acteur d'un État-nation exploite une vulnérabilité zero-day.
Les vulnérabilités zero-day coûtent cher
«Depuis 2019, nous avons vu les vulnérabilités de Citrix, Pulse Secure et Fortinet SSL VPN exploitées par une variété d'attaquants, des affiliés de ransomware aux groupes de menaces persistantes avancées (APT) et aux acteurs étatiques travaillant avec des pays comme la Russie, l'Iran et la Chine. est connecté.
Étant donné que ces actifs sont accessibles au public, ils constituent une cible idéale pour les attaques. Du point de vue des coûts, l'investissement dans le développement ou l'acquisition de vulnérabilités zero-day est certainement plus élevé, tandis que l'utilisation d'un code d'exploitation accessible au public pour les vulnérabilités plus anciennes ne coûte rien. Dans cet esprit, il est surprenant qu'un acteur étatique ayant des liens avec la Chine exploite une vulnérabilité du jour zéro, bien que cela ne soit pas inattendu. Les entreprises utilisant un logiciel VPN SSL doivent se concentrer sur la correction de ces appareils en temps opportun afin de limiter la fenêtre d'opportunité pour les attaquants opportunistes. Dans le même temps, ils doivent s'assurer qu'un programme solide de réponse aux incidents de sécurité est en place », a déclaré Satnam Narang, ingénieur de recherche chez Tenable.
Allez tête à tête avec attaque et patch
Trois jours après la divulgation publique initiale, Fortinet a publié le correctif CVE-2022-42475 et a confirmé qu'il était exploité à l'état sauvage. La faille de sécurité critique est une vulnérabilité de débordement de mémoire tampon. Cela permet l'exécution de code à distance dans plusieurs versions de ForiOS utilisées dans les VPN SSL et les pare-feu.
Les VPN SSL Fortinet sont une cible importante depuis des années - à tel point qu'en 2021, le FBI et la CISA ont publié un avis spécial sur ces vulnérabilités et sur la manière de les exploiter. Les acteurs étatiques sont connus pour exploiter encore ces vulnérabilités héritées des VPN SSL Fortinet. Étant donné que cette nouvelle vulnérabilité a déjà été exploitée, les organisations doivent corriger CVE-2022-42475 immédiatement avant qu'elle ne rejoigne les rangs des autres vulnérabilités VPN héritées.
Plus sur Tenable.com
À propos de Tenable Tenable est une entreprise de cyber-exposition. Plus de 24.000 53 entreprises dans le monde font confiance à Tenable pour comprendre et réduire les cyber-risques. Les inventeurs de Nessus ont combiné leur expertise en matière de vulnérabilité dans Tenable.io, offrant la première plate-forme du secteur qui offre une visibilité en temps réel et sécurise n'importe quel actif sur n'importe quelle plate-forme informatique. La clientèle de Tenable comprend 500 % du Fortune 29, 2000 % du Global XNUMX et de grandes agences gouvernementales.