CERTFR-2025-ALE-004
Vulnerability from certfr_alerte

Fortinet a publié le 10 avril 2025 un billet de blogue [1] indiquant l'utilisation d'une technique de post-exploitation qui permet une atteinte à la confidentialité des données de l'ensemble du système des équipements Fortigate affectés. Cette technique repose sur l'utilisation d'un lien symbolique déposé sur le système à la suite d'une compromission de l'équipement par exploitation, entre autres, des vulnérabilités CVE-2022-42475 [2], CVE-2023-27997 [3] ou CVE-2024-21762 [4].

Le CERT-FR a connaissance d'une campagne massive, avec de nombreux équipements compromis en France. Lors d'opérations de réponse à incident, le CERT-FR a pris connaissance de compromissions ayant eu lieu dès le début de l'année 2023.

Solutions

L'éditeur a publié des versions correctives pour les branches 6.4.x, 7.0.x, 7.2.x, 7.4.x et 7.6.x. La mise à jour vers une de ces versions supprime les fichiers malveillants. Dans le cas de l'utilisation d'une version qui n'est plus supportée, le CERT-FR recommande fortement de migrer vers une version corrective.

Pour les utilisateurs avec un contrat de support et une licence IPS activée, l'éditeur a supprimé automatiquement les fichiers malveillants. Le CERT-FR a connaissance de nombreux équipements pour lesquels ces conditions ne sont pas réunies.

L'éditeur a indiqué avoir contacté les clients avec des équipements compromis. Le CERT-FR invite les propriétaires d'équipements à consulter les adresses de messageries pouvant avoir été contactées par Fortinet ou à relayer cette demande aux gestionnaires de l'équipement si cela est applicable.

Cependant, la simple suppression de ces éléments et l'application des mises à jour n'est pas suffisante en cas de compromission. Dans cette situation: 1. isoler les équipements compromis du réseau et réaliser un gel de données (instantané pour les machines virtuelles, isolement de l’équipement s’il s’agit d’un équipement physique) à des fins d’investigations approfondies ; 2. réinitialiser tous les secrets de façon générale (mot de passe, certificat, etc.) configurés sur les équipements affectés ; 3. réinitialiser tous les secrets d’authentification susceptibles d’avoir transités sur les équipements affectés (si applicable) : mots de passe, jetons d'identité, clés cryptographiques...; 4. rechercher toutes traces de latéralisation sur le reste du système d’information, notamment : * en cherchant les connexions ou tentatives de connexion vers Internet depuis l'équipement compromis ; * puis en cherchant ces adresses IP de destination pour vérifier si d’autres machines ont tenté une connexion ; * en analysant les journaux des EDR ou les journaux Windows pour identifier des connexions depuis l'équipement compromis. 5. identifier les comptes du domaine Active Directory qui seraient configurés sur l'équipement suspecté puis : * vérifier l'activité réalisée à partir de ce compte ; * réinitialiser les secrets associés à ces comptes afin d'éviter que l'attaquant ne puisse réutiliser ailleurs les identifiants éventuellement obtenus sur l'équipement.

Le CERT-FR vous recontactera si nécessaire pour le traitement de l’incident ou vous communiquera des éléments supplémentaires. En cas de suspicion de compromission, il est recommandé de consulter les bons réflexes en cas d'intrusion sur votre système d'information [5].

L'éditeur indique que les clients qui n'ont jamais activé la fonctionnalité de SSL-VPN ne sont pas impactés.

Impacted products
Vendor Product Description
Fortinet FortiOS FortiOS versions 7.0.x antérieures à 7.0.17
Fortinet FortiOS FortiOS versions 7.4.x antérieures à 7.4.7
Fortinet FortiOS FortiOS versions 7.6.x antérieures à 7.6.2
Fortinet FortiOS FortiOS versions 7.2.x antérieures à 7.2.11
Fortinet FortiOS FortiOS versions antérieures à 6.4.16
References

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "FortiOS versions 7.0.x ant\u00e9rieures \u00e0 7.0.17",
      "product": {
        "name": "FortiOS",
        "vendor": {
          "name": "Fortinet",
          "scada": false
        }
      }
    },
    {
      "description": "FortiOS versions 7.4.x ant\u00e9rieures \u00e0 7.4.7",
      "product": {
        "name": "FortiOS",
        "vendor": {
          "name": "Fortinet",
          "scada": false
        }
      }
    },
    {
      "description": "FortiOS versions 7.6.x ant\u00e9rieures \u00e0 7.6.2",
      "product": {
        "name": "FortiOS",
        "vendor": {
          "name": "Fortinet",
          "scada": false
        }
      }
    },
    {
      "description": "FortiOS versions 7.2.x ant\u00e9rieures \u00e0 7.2.11",
      "product": {
        "name": "FortiOS",
        "vendor": {
          "name": "Fortinet",
          "scada": false
        }
      }
    },
    {
      "description": "FortiOS versions ant\u00e9rieures \u00e0 6.4.16",
      "product": {
        "name": "FortiOS",
        "vendor": {
          "name": "Fortinet",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": "L\u0027\u00e9diteur indique que les clients qui n\u0027ont jamais activ\u00e9 la fonctionnalit\u00e9 de SSL-VPN ne sont pas impact\u00e9s.",
  "closed_at": "2025-08-07",
  "content": "## Solutions\n\nL\u0027\u00e9diteur a publi\u00e9 des versions correctives pour les branches 6.4.x, 7.0.x, 7.2.x, 7.4.x et 7.6.x. La mise \u00e0 jour vers une de ces versions supprime les fichiers malveillants. Dans le cas de l\u0027utilisation d\u0027une version qui n\u0027est plus support\u00e9e, le CERT-FR recommande fortement de migrer vers une version corrective.\n\nPour les utilisateurs avec un contrat de support et une licence IPS activ\u00e9e, l\u0027\u00e9diteur a supprim\u00e9 automatiquement les fichiers malveillants. Le CERT-FR a connaissance de nombreux \u00e9quipements pour lesquels ces conditions ne sont pas r\u00e9unies.\n\nL\u0027\u00e9diteur a indiqu\u00e9 avoir contact\u00e9 les clients avec des \u00e9quipements compromis. Le CERT-FR invite les propri\u00e9taires d\u0027\u00e9quipements \u00e0 consulter les adresses de messageries pouvant avoir \u00e9t\u00e9 contact\u00e9es par Fortinet ou \u00e0 relayer cette demande aux gestionnaires de l\u0027\u00e9quipement si cela est applicable.\n\n**Cependant, la simple suppression de ces \u00e9l\u00e9ments et l\u0027application des mises \u00e0 jour n\u0027est pas suffisante en cas de compromission**. Dans cette situation:\n1. isoler les \u00e9quipements compromis du r\u00e9seau et r\u00e9aliser un gel de donn\u00e9es (instantan\u00e9 pour les machines virtuelles, isolement de l\u2019\u00e9quipement s\u2019il s\u2019agit d\u2019un \u00e9quipement physique) \u00e0 des fins d\u2019investigations approfondies ;\n2. r\u00e9initialiser tous les secrets de fa\u00e7on g\u00e9n\u00e9rale (mot de passe, certificat, etc.) configur\u00e9s sur les \u00e9quipements affect\u00e9s ; \n3. r\u00e9initialiser tous les secrets d\u2019authentification susceptibles d\u2019avoir transit\u00e9s sur les \u00e9quipements affect\u00e9s (si applicable) : mots de passe, jetons d\u0027identit\u00e9, cl\u00e9s cryptographiques...;\n4. rechercher toutes traces de lat\u00e9ralisation sur le reste du syst\u00e8me d\u2019information, notamment :\n    * en cherchant les connexions ou tentatives de connexion vers Internet depuis l\u0027\u00e9quipement compromis ;\n    * puis en cherchant ces adresses IP de destination pour v\u00e9rifier si d\u2019autres machines ont tent\u00e9 une connexion ;\n    * en analysant les journaux des EDR ou les journaux Windows pour identifier des connexions depuis l\u0027\u00e9quipement compromis. \n5. identifier les comptes du domaine Active Directory qui seraient configur\u00e9s sur l\u0027\u00e9quipement suspect\u00e9 puis :\n    * v\u00e9rifier l\u0027activit\u00e9 r\u00e9alis\u00e9e \u00e0 partir de ce compte ;\n    * r\u00e9initialiser les secrets associ\u00e9s \u00e0 ces comptes afin d\u0027\u00e9viter que l\u0027attaquant ne puisse r\u00e9utiliser ailleurs les identifiants \u00e9ventuellement obtenus sur l\u0027\u00e9quipement.\n\nLe CERT-FR vous recontactera si n\u00e9cessaire pour le traitement de l\u2019incident ou vous communiquera des \u00e9l\u00e9ments suppl\u00e9mentaires. En cas de suspicion de compromission, il est recommand\u00e9 de consulter les [bons r\u00e9flexes en cas d\u0027intrusion sur votre syst\u00e8me d\u0027information](https://www.cert.ssi.gouv.fr/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/) [5].",
  "cves": [],
  "initial_release_date": "2025-04-11T00:00:00",
  "last_revision_date": "2025-08-07T00:00:00",
  "links": [
    {
      "title": "[3] Alerte CERTFR-2023-ALE-004",
      "url": "https://www.cert.ssi.gouv.fr/alerte/CERTFR-2023-ALE-004/"
    },
    {
      "title": "[4] Alerte CERTFR-2024-ALE-004",
      "url": "https://www.cert.ssi.gouv.fr/alerte/CERTFR-2024-ALE-004/"
    },
    {
      "title": "[1] Billet de blogue Fortinet du 10 avril 2025",
      "url": "https://www.fortinet.com/blog/psirt-blogs/analysis-of-threat-actor-activity"
    },
    {
      "title": "[5] Les bons r\u00e9flexes en cas d\u2019intrusion sur un syst\u00e8me d\u2019information",
      "url": "https://www.cert.ssi.gouv.fr/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/"
    },
    {
      "title": "[2] Alerte CERTFR-2022-ALE-012",
      "url": "https://www.cert.ssi.gouv.fr/alerte/CERTFR-2022-ALE-012/"
    },
    {
      "title": "Documentation 230694 relative aux actions \u00e0 suivre en cas de compromission",
      "url": "https://community.fortinet.com/t5/FortiGate/Technical-Tip-Recommended-steps-to-execute-in-case-of-a/ta-p/230694"
    }
  ],
  "reference": "CERTFR-2025-ALE-004",
  "revisions": [
    {
      "description": "Version initiale",
      "revision_date": "2025-04-11T00:00:00.000000"
    },
    {
      "description": "Cl\u00f4ture de l\u0027alerte. Cela ne signifie pas la fin d\u0027une menace. Seule l\u0027application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l\u0027exploitation de la vuln\u00e9rabilit\u00e9 correspondante.",
      "revision_date": "2025-08-07T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"
    }
  ],
  "summary": "Fortinet a publi\u00e9 le 10 avril 2025 un billet de blogue [1] indiquant l\u0027utilisation d\u0027une technique de post-exploitation qui permet une atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es de l\u0027ensemble du syst\u00e8me des \u00e9quipements Fortigate affect\u00e9s.\nCette technique repose sur l\u0027utilisation d\u0027un lien symbolique d\u00e9pos\u00e9 sur le syst\u00e8me \u00e0 la suite d\u0027une compromission de l\u0027\u00e9quipement par exploitation, entre autres, des vuln\u00e9rabilit\u00e9s CVE-2022-42475 [2], CVE-2023-27997 [3] ou CVE-2024-21762 [4]. \n\nLe CERT-FR a connaissance d\u0027une campagne massive, avec de nombreux \u00e9quipements compromis en France. Lors d\u0027op\u00e9rations de r\u00e9ponse \u00e0 incident, le CERT-FR a pris connaissance de compromissions ayant eu lieu d\u00e8s le d\u00e9but de l\u0027ann\u00e9e 2023.",
  "title": "Activit\u00e9s de post-exploitation dans Fortinet FortiGate",
  "vendor_advisories": []
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.