Des pirates informatiques travaillant pour le gouvernement chinois ont eu accès à plus de 20 000 appareils VPN vendus par Fortinet en utilisant une vulnérabilité critique que la société n’a pas divulguée pendant deux semaines après l’avoir corrigée, ont déclaré des responsables du gouvernement néerlandais.
La vulnérabilité, identifiée comme CVE-2022-42475, est un débordement de tampon basé sur le tas qui permet aux pirates d’exécuter à distance du code malveillant. Il porte un indice de gravité de 9,8 sur 10. Fortinet, fabricant de logiciels de sécurité réseau, a corrigé la vulnérabilité en silence le 28 novembre 2022, mais n’a mentionné la menace que le 12 décembre de la même année, lorsque la société a déclaré avoir pris connaissance de la menace. un « cas où cette vulnérabilité a été exploitée à l’état sauvage ». Le 11 janvier 2023, soit plus de six semaines après la correction de la vulnérabilité, Fortinet a averti qu’un acteur malveillant l’exploitait pour infecter le gouvernement et les organisations liées au gouvernement avec des logiciels malveillants avancés et personnalisés.
Entrez CoatHanger
Les responsables néerlandais ont signalé pour la première fois en février que des pirates informatiques chinois avaient exploité CVE-2022-42475 pour installer une porte dérobée avancée et furtive, identifiée sous le nom de CoatHanger, sur les appareils Fortigate du ministère néerlandais de la Défense. Une fois installé, ce malware inédit, spécialement conçu pour le système d’exploitation sous-jacent FortiOS, était capable de résider en permanence sur les appareils même après un redémarrage ou la réception d’une mise à jour du micrologiciel. CoatHanger pourrait également échapper aux mesures de détection traditionnelles, préviennent les responsables. Les dégâts résultant de la brèche ont toutefois été limités, car les infections étaient contenues dans un segment réservé à des usages non classifiés.
Lundi, des responsables du Service militaire de renseignement et de sécurité (MIVD) et du Service général de renseignement et de sécurité des Pays-Bas ont déclaré qu’à ce jour, des pirates informatiques chinois avaient utilisé cette vulnérabilité critique pour infecter plus de 20 000 appareils VPN FortiGate vendus par Fortinet. Les cibles incluent des dizaines d’agences gouvernementales occidentales, d’organisations internationales et d’entreprises de l’industrie de la défense.
« Depuis lors, le MIVD a mené une enquête plus approfondie et a montré que la campagne de cyberespionnage chinoise semble être beaucoup plus étendue qu’on ne le pensait auparavant », ont écrit des responsables néerlandais du Centre national de cybersécurité. « Le NCSC appelle donc à une attention particulière à cette campagne et à l’abus des vulnérabilités des appareils de pointe. »
Le rapport de lundi indique que l’exploitation de la vulnérabilité a commencé deux mois avant que Fortinet ne la divulgue pour la première fois et que 14 000 serveurs ont été détournés au cours de cette période zéro jour. Les responsables ont averti que le groupe menaçant chinois avait probablement encore accès à de nombreuses victimes car CoatHanger est très difficile à détecter et à supprimer.
Des responsables du gouvernement néerlandais ont écrit dans le rapport de lundi :
Depuis la publication en février, le MIVD a continué à enquêter sur la campagne plus large de cyberespionnage chinois. Cela a révélé que l’acteur étatique a eu accès à au moins 20 000 systèmes FortiGate dans le monde en quelques mois en 2022 et 2023 grâce à la vulnérabilité avec l’identifiant CVE-2022-42475. En outre, des recherches montrent que l’acteur étatique à l’origine de cette campagne était déjà au courant de cette vulnérabilité dans les systèmes FortiGate au moins deux mois avant que Fortinet n’annonce la vulnérabilité. Au cours de cette période dite du « jour zéro », l’acteur a infecté à lui seul 14 000 appareils. Les cibles comprennent des dizaines de gouvernements (occidentaux), des organisations internationales et un grand nombre d’entreprises du secteur de la défense.
L’acteur étatique a ensuite installé des logiciels malveillants sur des cibles concernées. Cela a donné à l’acteur étatique un accès permanent aux systèmes. Même si une victime installe des mises à jour de sécurité depuis FortiGate, l’acteur étatique continue d’avoir cet accès.
On ne sait pas combien de victimes ont réellement installé des logiciels malveillants. Les services de renseignement néerlandais et le NCSC considèrent qu’il est probable que l’acteur étatique puisse potentiellement étendre son accès à des centaines de victimes dans le monde et mener des actions supplémentaires telles que le vol de données.
Même avec le rapport technique sur le malware COATHANGER, les infections provenant de l’acteur sont difficiles à identifier et à supprimer. Le NCSC et les services de renseignement néerlandais affirment donc qu’il est probable que l’acteur étatique ait encore accès aux systèmes d’un nombre important de victimes.
L’incapacité de Fortinet à divulguer en temps opportun est particulièrement grave compte tenu de la gravité de la vulnérabilité. Les divulgations sont cruciales car elles aident les utilisateurs à prioriser l’installation des correctifs. Lorsqu’une nouvelle version corrige des bugs mineurs, de nombreuses organisations attendent souvent de l’installer. Lorsqu’il corrige une vulnérabilité avec un indice de gravité de 9,8, il est beaucoup plus susceptible d’accélérer le processus de mise à jour. Étant donné que la vulnérabilité était exploitée avant même que Fortinet ne la corrige, la divulgation n’aurait probablement pas empêché toutes les infections, mais il va de soi qu’elle aurait pu en arrêter certaines.
Les responsables de Fortinet n’ont jamais expliqué pourquoi ils n’avaient pas divulgué la vulnérabilité critique lors de sa correction. Ils ont également refusé de divulguer quelle est la politique de l’entreprise en matière de divulgation des vulnérabilités de sécurité. Les représentants de l’entreprise n’ont pas immédiatement répondu à un e-mail sollicitant des commentaires sur ce message.