Fortinet annonce que la vulnérabilité CVE-2022-42475, découverte le mois dernier dans son système d’exploitation FortiOS, a été exploitée par des attaquants à distance sans authentification. Son niveau de criticité est de 9.3/10 sur l’échelle du Common Vulnerability Scoring System (CVSS).

Les versions de FortiOS concernées vont de 6.0.5 à 7.2.1. Ces versions sont dans les modèles FG100F, FG101F, FG200D, FG200E, FG201F, FG240D, FG3H0E, FG5H0E, FG6H1E, FG800D, FGT5HD, FGT60F et FGT80F.

Pour effectuer leur attaque zero-day, les attaquants ont copié une version malveillante de FortiOS IPS dans le système de fichiers. « Si libps.bak est nommé libips.so dans le répertoire /data/lib, le code malveillant sera exécuté automatiquement car les composants de FortiOS appelleront ces fonctions exportées », déclare Fortinet dans un avis de sécurité. Le malware ‘patche’ les processus de journalisation de FortiOS et manipule ou détruit les journaux (logs) pour échapper à la détection.

Le fournisseur précise qu’une mise à jour est disponible et à appliquer le plus rapidement possible. Les clients ne pouvant pas la déployer immédiatement sont invités à désactiver entièrement SSL-VPN dans leurs appareils. Fortinet a également publié une signature IPS de prévention des intrusions afin de détecter des tentatives d’exploitation ainsi que des règles de détection pour son moteur antivirus.