Détection CVE-2022-42475 : Vulnérabilité Zero-Day dans FortiOS SSL-VPN Exploitée dans des Attaques Contre des Entités Gouvernementales et de Grandes Organisations

Restez vigilant ! Les chercheurs en sécurité mettent en garde la communauté mondiale des défenseurs du cyberespace contre une vulnérabilité zero-day dans FortiOS SSL-VPN, qui a été corrigée en décembre 2022. La faille de sécurité suivie sous le nom CVE-2022-42475 et entraînant une exécution de code à distance non authentifiée (RCE) a été exploitée dans des attaques ciblées contre des agences gouvernementales et de grandes organisations à travers le monde. 

Détecter CVE-2022-42475 : Vulnérabilité critique de dépassement de tampon de tas entraînant une exécution de code à distance non authentifiée

Compte tenu du nombre croissant d’attaques exploitant activement cette vulnérabilité pour cibler les organisations gouvernementales, la détection en temps opportun et une défense cyber proactive sont essentielles pour protéger l’infrastructure publique contre d’éventuelles intrusions. Pour ne laisser aucune chance aux attaquants de passer inaperçus, la plateforme Detection as Code de SOC Prime propose un ensemble de règles Sigma dédiées détectant les tentatives d’exploitation de la CVE-2022-42475. 

FortiOS – Indicateurs d’exploitation de dépassement de tampon basé sur le tas dans sslvpnd [CVE-2022-42475] (via web)

Cette règle a été développée par l’équipe SOC Prime pour identifier les schémas d’exploitation du dépassement de tampon critique dans FortiOS SSL-VPN lié aux attaques ciblées contre les institutions gouvernementales. La détection est compatible avec 16 solutions SIEM, EDR et XDR et s’aligne avec le cadre MITRE ATT&CK® v12 abordant les tactiques d’accès initial avec Exploiter les applications exposées (T1190) comme technique correspondante.

Indicateurs possibles d’exploitation FortiOS – dépassement de tampon basé sur le tas dans sslvpnd [CVE-2022-42475]

Ci-dessus se trouve une autre règle Sigma par l’équipe SOC Prime pour identifier les indicateurs d’exploitation pour CVE-2022-42475. La détection est accompagnée de traductions vers 14 formats SIEM, EDR et XDR et s’aligne avec MITRE ATT&CK abordant l’accès initial et l’escalade de privilèges avec Exploiter les applications exposées (T1190) et Exploitation pour l’escalade de privilèges (T1068) comme techniques correspondantes. 

Plus de 750 règles Sigma pour des vulnérabilités émergentes sont disponibles ! Appuyez sur le Explorer les détections bouton pour accéder instantanément au contenu pertinent de la détection des menaces, aux liens CTI correspondants, aux références ATT&CK, aux idées de chasse aux menaces et aux conseils d’ingénierie de détection. 

Explorer les détections

Analyse CVE-2022-42475

Selon le dernier rapport sur l’innovation Detection as Code de SOC Prime, l’exploitation proactive des vulnérabilités est l’une des principales priorités de contenu de détection de 2021-2022. Au début de 2023, les acteurs de la menace ne ralentissent pas leurs tentatives de tirer parti des failles de sécurité. 

Des chercheurs de Fortinet ont récemment signalé que des adversaires inconnus ont exploité une vulnérabilité zero-day dans FortiOS corrigée le mois dernier pour attaquer des organismes étatiques et de grandes organisations. La vulnérabilité identifiée dans FortiOS SSL-VPN (CVE-2022-42475) exploitée dans ces attaques est un bug de dépassement de tampon basé sur le tas, qui permet aux hackers d’exécuter du code à distance (RCE) et de paralyser les systèmes compromis via des requêtes générées spécifiquement. 

Fortinet a découvert cette vulnérabilité suivie sous le nom CVE-2022-42475 à la mi-décembre 2022. En raison des cas signalés d’exploitation active dans la nature, la société a publié un avis de sécurité partageant des recommandations pour valider le système contre la liste des IOCs fournis. La société de sécurité réseau a également publié des correctifs pertinents en réparant le bug dans la version 7.2.3 de FortiOS et a émis une signature pour l’IPS afin que les clients du fournisseur puissent protéger leurs environnements.

Cependant, le 1er janvier 2023, Fortinet a publié un suivi détaillant que des adversaires ont exploité la CVE-2022-42475 pour tirer parti d’instances FortiOS compromises pour diffuser des logiciels malveillants, qui se sont avérés être une version trojanisée du moteur IPS. Les chercheurs de la société ont admis que les tentatives d’exploitation ont été effectuées par des adversaires sophistiqués visant des attaques ciblées contre des organisations affiliées au gouvernement. 

Dans la campagne en cours, les acteurs de la menace ont utilisé des techniques avancées pour maintenir la persistance et échapper à la détection, ce qui contribue à la complexité globale de l’attaque. L’exploitation de la vulnérabilité permet aux attaquants de déposer des échantillons malveillants qui manipulent les fichiers journaux et sont capables de détruire les processus de journalisation de FortiOS. Selon la recherche de Fortinet, la cible finale des hackers était de déployer l’implant Linux personnalisé pour paralyser les capacités anti-malware de l’IPS des dispositifs ciblés et se connecter à un serveur distant favorisant la livraison de plus de charges utiles et permettant l’exécution de commandes.

Des attaques hautement sophistiquées impliquant une compréhension approfondie de l’environnement FortiOS, l’utilisation d’implants génériques et des techniques de rétro-ingénierie indiquent que les acteurs de la menace liés à cette campagne possèdent des capacités avancées et posent un défi aux défenseurs du cyberespace. Pour identifier les activités malveillantes associées aux menaces persistantes avancées, plongez dans le référentiel de contenu de détection de SOC Prime agrégant plus de 900 règles pour les outils et attaques liés aux APT. Obtenez plus de 200 gratuitement à https://socprime.com/ ou accédez à toutes les règles avec On Demand à https://my.socprime.com/pricing.