漏洞平台

POC详情： 083f95e9264d5d6bc4cebaaf3ed84e96e27accab

来源

https://github.com/Yami0x777/Belsen_Group-et-exploitation-de-la-CVE-2022-40684

关联漏洞

标题： Fortinet FortiOS 授权问题漏洞 (CVE-2022-40684)
描述：Fortinet FortiOS是美国飞塔（Fortinet）公司的一套专用于FortiGate网络安全平台上的安全操作系统。该系统为用户提供防火墙、防病毒、IPSec/SSLVPN、Web内容过滤和反垃圾邮件等多种安全功能。 Fortinet FortiOS存在授权问题漏洞。目前尚无此漏洞的相关信息，请随时关注CNNVD或厂商公告。

介绍

#  Belsen_Group et exploitation de la CVE-2022-40684

## Mise en contexte

Le 29 janvier 2025, un utilisateur du forum cybercriminel Belsen_Group a publié un message affirmant détenir 15,000 équipements Fortinet compromis, avec des fichiers de configuration et des mots de passe VPN.
Il propose désormais 1,000 cibles exclusives à la vente sur le dark web.

Cependant, notre analyse des fichiers montre que Belsen_Group n'est pas à l'origine de cette compromission, mais qu'il a simplement recyclé une fuite plus ancienne, résultant de l'exploitation de la vulnérabilité CVE-2022-40684, une faille critique permettant un accès administrateur non authentifié via HTTP/HTTPS.

![Texte alternatif](IMG/1.png "Post on BF")
![Texte alternatif](IMG/2.png "Tor Website")

## Preuves d’une compromission antérieure via la CVE-2022-40684

### Données extraites de la fuite :

* 15,474 équipements Fortinet compromis

* 9,088 fichiers de mots de passe VPN récupérés

* 6,386 fichiers absents (supprimés ou non capturés)

* 41.27% des configurations fuitées sans fichier de mots de passe VPN

### Informations détailles

========== RÉSUMÉ ==========

Total des sous-répertoires : 15 474  
Total des fichiers 'config.conf' : 15 474  
Total des fichiers 'vpn-passwords.txt' : 9 088  

Total des adresses IP : 15 474  
Total des adresses IP uniques : 15 469  

Total des adresses e-mail extraites : 43360
Total des adresses e-mail uniques : 25601

========== VERSIONS IMPACTÉES ==========

Version 7.0.0 : 1 376 appareils impactés  
Version 7.0.1 : 1 882 appareils impactés  
Version 7.0.2 : 1 252 appareils impactés  
Version 7.0.3 : 1 181 appareils impactés  
Version 7.0.4 : 320 appareils impactés  
Version 7.0.5 : 2 395 appareils impactés  
Version 7.0.6 : 2 245 appareils impactés  
Version 7.2.0 : 2 593 appareils impactés  
Version 7.2.1 : 2 209 appareils impactés  
Version 7.2.2 : 1 appareil impacté  

Version inconnue : 21 appareils impactés  (fichiers corrompues ou manquant)

### Versions Fortinet vulnérables :

* FortiOS 7.0.0 → 7.0.6

* FortiOS 7.2.0 → 7.2.1


 Fortinet avait publié un correctif en novembre 2022 (FortiOS 7.0.7 et 7.2.2), ce qui signifie que ces fuites proviennent d’une compromission ayant eu lieu avant cette date.


### Indicateurs de compromission (IOCs) détectés

Nos analyses ont révélé deux marqueurs clés d'intrusion, confirmant une exploitation massive de CVE-2022-40684 :

* user=Local_Process_Access (15,453 occurrences)
![Texte alternatif](IMG/3.png "user=Local_Process_Access")

 Indicateur confirmé par Fortinet comme signe d’exploitation de CVE-2022-40684.

 Permet un accès non authentifié aux systèmes FortiGate via des commandes administratives cachées.

* fortigate-tech-support (9,335 occurrences)

 Ajout d’un faux compte administrateur ("super_admin") utilisé pour maintenir un accès permanent.

 Ce compte est visible dans les fichiers de configuration :
 ![Texte alternatif](IMG/4.png "fortigate-tech-support")

 Ce compte a été massivement utilisé dans les exploits liés à CVE-2022-40684.

## Dans les fichiers récupérés, un script Python suspect a été découvert à la racine, nommé I.py.

![Texte alternatif](IMG/5.png "lol")

 Que fait ce script ?

 Ajoute la signature "Belsen Group" à la première ligne des fichiers passwords.txt.

 Renomme les fichiers passwords.txt en vpn-passwords.txt.

 Pourquoi ce script prouve que Belsen_Group n’est pas à l’origine du hack ?

 Aucun vol de données → Le script ne fait que modifier localement les fichiers, il ne les exfiltre pas.

 Ajoute une signature visible "-=-= Belsen Group -=-=" afin de prétendre être à l'origine de la compromission.

 Cela signifie que Belsen_Group n’a fait que récupérer et réutiliser une fuite existante.

 Ce groupe n'a donc aucun lien avec la compromission initiale, il se contente de recycler et revendre des accès déjà compromis.

## Le script ayant servi à l’analyse est disponible dans ce repository, afin que vous puissiez reproduire nos recherches ou l'améliorer.

 Vous y retrouverez également un tableau listant les IPs compromises, indiquant :

* Le nombre de comptes compromis
* La version de FortiOS impactée
* La présence ou non des IOCs détectés

Protégez vos infrastructures ! Faites un audit immédiat et appliquez les correctifs nécessaires.

## Sources

* https://www.cve.org/CVERecord?id=CVE-2022-40684
* https://www.fortiguard.com/psirt/FG-IR-22-377

文件快照


 [4.0K]  /data/pocs/083f95e9264d5d6bc4cebaaf3ed84e96e27accab
├── [4.0K]  FILES
│   ├── [815K]  scan_results.csv
│   ├── [1.9K]  scan_results.txt
│   └── [1.4K]  shodan-fortigate.py
├── [4.0K]  IMG
│   ├── [127K]  1.png
│   ├── [149K]  2.png
│   ├── [3.4K]  3.png
│   ├── [4.8K]  4.png
│   └── [ 12K]  5.png
└── [4.4K]  README.md

2 directories, 9 files

神龙机器人已为您缓存

备注

1. 建议优先通过来源进行访问。

2. 如果因为来源失效或无法访问，请发送邮箱到 f.jinxu#gmail.com 索取本地快照（把 # 换成 @）。

3. 神龙已为您对POC代码进行快照，为了长期维护，请考虑为本地POC付费，感谢您的支持。