Vulnérabilité CVE-2022-42475

Entre 2022 et 2023, des acteurs menaçants parrainés par des États et liés à la Chine ont infiltré 20 000 systèmes Fortinet FortiGate dans le monde en exploitant une faille de sécurité critique connue. Cette violation révèle un impact plus large que ce qui avait été reconnu précédemment.

L'acteur étatique responsable de cette opération était déjà au courant de la vulnérabilité des systèmes FortiGate au moins deux mois avant qu'elle ne soit révélée par Fortinet. Au cours de cette période, connue sous le nom de fenêtre du jour zéro, l’acteur a réussi à compromettre 14 000 appareils.

Selon un rapport conjoint du Service de renseignement et de sécurité militaire néerlandais (MIVD) et du Service général de renseignement et de sécurité (AIVD) début 2024, des pirates chinois ont exploité CVE-2022-42475, une vulnérabilité critique d'exécution de code à distance de FortiOS/FortiProxy. Pendant plusieurs mois en 2022 et 2023, les attaquants ont réussi à installer des logiciels malveillants sur les appliances de sécurité réseau Fortigate vulnérables.

Les attaquants ont déployé le Coathanger RAT sur des appareils compromis

Le malware Coathanger Remote Access Trojan (RAT), découvert lors des attaques, a également été détecté sur un réseau appartenant au ministère néerlandais de la Défense, spécifiquement utilisé pour la recherche et le développement (R&D) sur des projets non classifiés. Heureusement, grâce à la segmentation du réseau, les attaquants n’ont pas pu infiltrer d’autres systèmes.

Cette souche de malware jusqu'alors non divulguée, capable de persister lors des redémarrages du système et des mises à niveau du micrologiciel, a été utilisée par un groupe de piratage parrainé par l'État chinois dans le cadre d'une campagne d'espionnage politique ciblant les Pays-Bas et ses alliés. Cela a accordé à l’acteur étatique un accès persistant aux systèmes compromis. Même avec les mises à jour de sécurité installées depuis FortiGate, l’acteur étatique conserve cet accès.

Le nombre exact de victimes avec le malware installé reste inconnu. Cependant, les chercheurs pensent que l’acteur étatique pourrait potentiellement étendre son accès à des centaines de victimes dans le monde, permettant ainsi d’autres actions telles que le vol de données.

Les cybercriminels peuvent toujours avoir accès aux appareils violés

Depuis février, il est apparu qu'un groupe malveillant chinois avait eu accès à plus de 20 000 systèmes FortiGate dans le monde entre 2022 et 2023, sur plusieurs mois, au moins deux mois avant que Fortinet ne divulgue la vulnérabilité CVE-2022-42475.

Le MIVD suggère que les pirates chinois conservent probablement un accès à de nombreuses victimes, car le malware Coathanger est capable d'échapper à la détection en interceptant les appels système, ce qui rend sa présence difficile à identifier. De plus, il résiste à la suppression et survit aux mises à niveau du micrologiciel. CVE-2022-42475 a été exploité comme une vulnérabilité zero-day, ciblant principalement les organisations gouvernementales et les entités affiliées, comme révélé en janvier 2023.

Ces attaques partagent des similitudes frappantes avec une autre campagne de piratage chinoise axée sur l'exploitation des appareils SonicWall Secure Mobile Access (SMA) non corrigés, en utilisant des logiciels malveillants de cyberespionnage conçus pour persister jusqu'aux mises à niveau du micrologiciel.