Les failles de sécurité persistantes dans les pare-feux FortiGate inquiètent la communauté cybersécurité. Des pirates informatiques réussissent à conserver un accès secret aux équipements Fortinet, même après l’installation de correctifs censés sécuriser les systèmes. Cette technique repose sur une faille SSL-VPN exploitée via un lien symbolique (symlink) pour maintenir un accès en lecture aux configurations et fichiers systèmes. Une actualité à suivre de près pour les entreprises utilisant Fortinet, en pleine campagne de renforcement de leur système de défense informatique.
Une exploitation sophistiquée d’anciennes vulnérabilités Fortinet
Accès en lecture seule conservé malgré les correctifs
Fortinet a publié un avis de sécurité signalant que des cybercriminels ont réussi à conserver un accès aux pare-feux FortiGate, même après la correction des failles initialement utilisées. Cette technique de persistance repose sur la création d’un lien symbolique entre le système de fichiers utilisateur et celui du système racine, via une fonction servant aux fichiers de langue du SSL-VPN.
Des vulnérabilités connues telles que CVE-2022-42475, CVE-2023-27997 et CVE-2024-21762 ont été exploitées pour injecter ce mécanisme. Bien que ces failles aient été corrigées depuis, la présence de ce symlink en lecture seule est restée active, passant sous le radar des solutions de détection classiques.
Les utilisateurs SSL-VPN directement concernés
Selon Fortinet, seuls les clients ayant activé la fonctionnalité SSL-VPN sont affectés. Le lien symbolique permet aux assaillants de lire les fichiers système, y compris les fichiers de configuration, sans possibilité de modification — ce qui rend leur activité difficile à détecter.
Mises à jour critiques et recommandations de sécurité
Correctifs disponibles dans FortiOS
Face à cette tactique avancée, Fortinet a déployé des mises à jour pour plusieurs versions de son système FortiOS afin de supprimer ces symlinks et empêcher leur exploitation à l’avenir :
- FortiOS 7.4, 7.2, 7.0 et 6.4 : le symlink est identifié comme malveillant et supprimé automatiquement par l’antivirus intégré.
- FortiOS 7.6.2, 7.4.7, 7.2.11, 7.0.17 et 6.4.16 : suppression du symlink et modification de l’interface SSL-VPN pour empêcher la lecture de tels fichiers symboliques.
Les administrateurs sont invités à mettre à jour leurs équipements FortiGate avec ces versions, à examiner en détail les configurations, et à considérer tout fichier de configuration comme potentiellement compromis afin de procéder à une reconstruction sécurisée des systèmes.
Alertes officielles et impact étendu
Les autorités telles que la CISA aux États-Unis et le CERT-FR ont publié des bulletins avertissant les usagers de réinitialiser les identifiants exposés et de désactiver temporairement le SSL-VPN jusqu’à implémentation des correctifs. Pour rappel, certains cas de compromission remontent à début 2023, selon les analyses de CERT-FR.
Une menace persistante dans un paysage de cybersécurité sous tension
Une stratégie des cybercriminels de plus en plus efficace
Benjamin Harris, PDG de watchTowr, alerte sur l’efficacité grandissante des pirates informatiques. Ceux-ci adaptaient déjà leurs attaques à grande vitesse, mais désormais, ils déploient aussi des portes dérobées résistant aux mises à jour, réinitialisations, voire aux réinstallations complètes de systèmes.
Cette capacité à maintenir l’accès à long terme dans les infrastructures critiques démontre un haut niveau de préparation. Une problématique évoquée notamment dans notre livre pour hacker, un excellent support pour apprendre à comprendre et anticiper les tactiques adverses à travers des techniques concrètes d’attaque et de contre-mesures.
Les infrastructures critiques en danger
Des traces de ces backdoors auraient été détectées dans des structures classées comme essentielles à la sécurité nationale selon watchTowr, soulignant l’urgence pour tous les responsables IT à renforcer leur posture de cybersécurité.
CyberCare accompagne les entreprises dans la sécurisation de leurs systèmes Fortinet et la détection proactive de menaces avancées issues de vulnérabilités non corrigées.
