关联漏洞
标题:
Fortinet FortiOS 授权问题漏洞
(CVE-2022-40684)
描述:Fortinet FortiOS是美国飞塔(Fortinet)公司的一套专用于FortiGate网络安全平台上的安全操作系统。该系统为用户提供防火墙、防病毒、IPSec/SSLVPN、Web内容过滤和反垃圾邮件等多种安全功能。 Fortinet FortiOS存在授权问题漏洞。目前尚无此漏洞的相关信息,请随时关注CNNVD或厂商公告。
介绍
# Belsen_Group et exploitation de la CVE-2022-40684
## Mise en contexte
Le 29 janvier 2025, un utilisateur du forum cybercriminel Belsen_Group a publié un message affirmant détenir 15,000 équipements Fortinet compromis, avec des fichiers de configuration et des mots de passe VPN.
Il propose désormais 1,000 cibles exclusives à la vente sur le dark web.
Cependant, notre analyse des fichiers montre que Belsen_Group n'est pas à l'origine de cette compromission, mais qu'il a simplement recyclé une fuite plus ancienne, résultant de l'exploitation de la vulnérabilité CVE-2022-40684, une faille critique permettant un accès administrateur non authentifié via HTTP/HTTPS.


## Preuves d’une compromission antérieure via la CVE-2022-40684
### Données extraites de la fuite :
* 15,474 équipements Fortinet compromis
* 9,088 fichiers de mots de passe VPN récupérés
* 6,386 fichiers absents (supprimés ou non capturés)
* 41.27% des configurations fuitées sans fichier de mots de passe VPN
### Informations détailles
========== RÉSUMÉ ==========
Total des sous-répertoires : 15 474
Total des fichiers 'config.conf' : 15 474
Total des fichiers 'vpn-passwords.txt' : 9 088
Total des adresses IP : 15 474
Total des adresses IP uniques : 15 469
Total des adresses e-mail extraites : 43360
Total des adresses e-mail uniques : 25601
========== VERSIONS IMPACTÉES ==========
Version 7.0.0 : 1 376 appareils impactés
Version 7.0.1 : 1 882 appareils impactés
Version 7.0.2 : 1 252 appareils impactés
Version 7.0.3 : 1 181 appareils impactés
Version 7.0.4 : 320 appareils impactés
Version 7.0.5 : 2 395 appareils impactés
Version 7.0.6 : 2 245 appareils impactés
Version 7.2.0 : 2 593 appareils impactés
Version 7.2.1 : 2 209 appareils impactés
Version 7.2.2 : 1 appareil impacté
Version inconnue : 21 appareils impactés (fichiers corrompues ou manquant)
### Versions Fortinet vulnérables :
* FortiOS 7.0.0 → 7.0.6
* FortiOS 7.2.0 → 7.2.1
Fortinet avait publié un correctif en novembre 2022 (FortiOS 7.0.7 et 7.2.2), ce qui signifie que ces fuites proviennent d’une compromission ayant eu lieu avant cette date.
### Indicateurs de compromission (IOCs) détectés
Nos analyses ont révélé deux marqueurs clés d'intrusion, confirmant une exploitation massive de CVE-2022-40684 :
* user=Local_Process_Access (15,453 occurrences)

Indicateur confirmé par Fortinet comme signe d’exploitation de CVE-2022-40684.
Permet un accès non authentifié aux systèmes FortiGate via des commandes administratives cachées.
* fortigate-tech-support (9,335 occurrences)
Ajout d’un faux compte administrateur ("super_admin") utilisé pour maintenir un accès permanent.
Ce compte est visible dans les fichiers de configuration :

Ce compte a été massivement utilisé dans les exploits liés à CVE-2022-40684.
## Dans les fichiers récupérés, un script Python suspect a été découvert à la racine, nommé I.py.

Que fait ce script ?
Ajoute la signature "Belsen Group" à la première ligne des fichiers passwords.txt.
Renomme les fichiers passwords.txt en vpn-passwords.txt.
Pourquoi ce script prouve que Belsen_Group n’est pas à l’origine du hack ?
Aucun vol de données → Le script ne fait que modifier localement les fichiers, il ne les exfiltre pas.
Ajoute une signature visible "-=-= Belsen Group -=-=" afin de prétendre être à l'origine de la compromission.
Cela signifie que Belsen_Group n’a fait que récupérer et réutiliser une fuite existante.
Ce groupe n'a donc aucun lien avec la compromission initiale, il se contente de recycler et revendre des accès déjà compromis.
## Le script ayant servi à l’analyse est disponible dans ce repository, afin que vous puissiez reproduire nos recherches ou l'améliorer.
Vous y retrouverez également un tableau listant les IPs compromises, indiquant :
* Le nombre de comptes compromis
* La version de FortiOS impactée
* La présence ou non des IOCs détectés
Protégez vos infrastructures ! Faites un audit immédiat et appliquez les correctifs nécessaires.
## Sources
* https://www.cve.org/CVERecord?id=CVE-2022-40684
* https://www.fortiguard.com/psirt/FG-IR-22-377
文件快照
[4.0K] /data/pocs/083f95e9264d5d6bc4cebaaf3ed84e96e27accab
├── [4.0K] FILES
│ ├── [815K] scan_results.csv
│ ├── [1.9K] scan_results.txt
│ └── [1.4K] shodan-fortigate.py
├── [4.0K] IMG
│ ├── [127K] 1.png
│ ├── [149K] 2.png
│ ├── [3.4K] 3.png
│ ├── [4.8K] 4.png
│ └── [ 12K] 5.png
└── [4.4K] README.md
2 directories, 9 files
备注
1. 建议优先通过来源进行访问。
2. 如果因为来源失效或无法访问,请发送邮箱到 f.jinxu#gmail.com 索取本地快照(把 # 换成 @)。
3. 神龙已为您对POC代码进行快照,为了长期维护,请考虑为本地POC付费,感谢您的支持。