Le Federal Bureau of Investigation (FBI) et la Cybersecurity and Infrastructure Security Agency (CISA) mettent en garde contre les acteurs de la menace persistante avancée (APT) ciblant les serveurs Fortinet FortiOS utilisant plusieurs exploits.

Dans le Joint Cybersecurity Advisory (CSA) publié aujourd’hui, les agences avertissent les administrateurs et les utilisateurs que les groupes de piratage d’État exploitent activement les vulnérabilités de Fortinet FortiOS CVE-2018-13379, CVE-2020-12812 et CVE-2019-5591.

Les attaquants énumèrent les serveurs non corrigés par rapport à CVE-2020-12812 et CVE-2019-5591, et recherchent les périphériques vulnérables CVE-2018-13379 sur les ports 4443, 8443 et 10443.

Les serveurs compromis peuvent être utilisés dans de futures attaques

Le groupe APT peut utiliser abusivement ces bogues de sécurité à l’avenir pour violer les réseaux de services gouvernementaux, commerciaux et technologiques. Une fois qu’ils ont infiltré les réseaux des cibles, ils peuvent utiliser cet accès initial pour de futures attaques.

« Les acteurs de l’APT peuvent utiliser tout ou partie de ces CVE pour accéder aux réseaux dans plusieurs secteurs d’infrastructures critiques afin d’accéder aux réseaux clés en tant que pré-positionnement pour l’exfiltration de données de suivi ou les attaques de cryptage de données », lit-on dans l’avis conjoint. [PDF].

«Les acteurs APT peuvent utiliser d’autres CVE ou des techniques d’exploitation courantes – telles que le spearphishing – pour accéder aux réseaux d’infrastructures critiques afin de se pré-positionner pour des attaques ultérieures.»

«Les acteurs d’APT ont historiquement exploité des vulnérabilités critiques pour mener des attaques par déni de service distribué (DDoS), des attaques de ransomware, des attaques par injection de langage de requête structuré (SQL), des campagnes de spearphishing, des défections de sites Web et des campagnes de désinformation.»

Le FBI et CISA ont également partagé des mesures d’atténuation pour bloquer les tentatives de compromis dans ces attaques soutenues par l’État.

Les exploits de Fortinet utilisés pour pirater les systèmes de soutien aux élections américaines

En novembre 2020, un acteur menaçant a partagé une liste de …