Alerte
Numéro : AL25-005
Date : 14 avril 2025
Auditoire
La présente alerte s'adresse aux professionnelles et professionnels et aux gestionnaires des TI œuvrant au sein des organismes avisés.
Objet
Une alerte a pour objet de prévenir les destinataires que des cybermenaces ont été relevées récemment et que celles-ci pourraient toucher les biens d'information électronique. Elle vise également à leur fournir des conseils supplémentaires en matière de détection et d'atténuation. Le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) est en mesure d'offrir, aux destinataires qui en font la demande, une assistance complémentaire concernant la teneur de la présente alerte.
Détails
Le 10 avril 2025, Fortinet a publié un blogue PSIRTNote de bas de page 1 décrivant l'exploitation étendue des vulnérabilités dans les produits Fortinet FortiOS remontant jusqu'en 2023. Des auteurs de menace ont compromis des dispositifs vulnérables et ont maintenu une présence persistante même après l'application de correctifs, ce qui leur a permis d'accéder potentiellement à des fichiers sensibles, y compris à des justificatifs d'identité et à du matériel de chiffrement.
Les vulnérabilités CVE-2022-42475Note de bas de page 2, CVE-2023-27997Note de bas de page 3 et CVE-2024-21762Note de bas de page 4 ont toutes déjà été exploitées dans le cadre de cette activité malveillante. Le Centre pour la cybersécurité a publié des bulletins de sécurité respectivement pour chacune d'entre elles.
Les produits Fortinet suivants sont touchés par cette vulnérabilité:
- FortiOS – versions 7.4, 7.2, 7.0 and 6.4
Veuillez noter que les clients qui n'ont pas activé le service SSL-VPN ne sont pas touchés par cette vulnérabilité.
Mesures Recommandées
Le Centre pour la cybersécurité recommande fortement aux organismes d'appliquer des correctifs aux versions FortiOS suivantes:
- FortiOS – versions 7.6.2, 7.4.7, 7.2.11 et 7.0.17 ou 6.4.16
Il est essentiel pour les organismes d'identifier les systèmes vulnérables et d'appliquer les correctifs à ces systèmes rapidement en utilisant les liens suivants:
- Fortinet PSIRT Advisory (FG-IR-22-398) (en anglais seulement)
- Fortinet PSIRT Advisory (FG-IR-23-097) (en anglais seulement)
- Fortinet PSIRT Advisory (FG-IR-24-015) (en anglais seulement)
Recommandations:
- Réinitialiser les justificatifs d'identité: Tenez pour acquis que vos dispositifs ont été compromisNote de bas de page 5 et réinitialisez tous les justificatifs d'identité liés au service SSL-VPN, aux dispositifs touchés, aux comptes d'utilisateur et aux clés pré-partagées (Pre-Shared Key), ainsi que les justificatifs d'identité LDAP.
- Appliquer les mises à jour: Appliquez les dernières mises à jour pour supprimer le fichier malveillant et activez les mises à jour automatiques pour les systèmes d'exploitation (SE) et les logiciels antivirus ou les systèmes de prévention d'intrusion (SPI).
- Examiner et surveiller les activités: Passez en revue le bulletin de sécurité du fournisseurNote de bas de page 1. Examinez la journalisation afin de détecter tout accès non autorisé au réseau privé virtuel (RPV) SSL, y compris les configurations afin de cerner tout changement non autorisé, et examinez la journalisation du réseau afin de repérer les indicateurs de compromission connus.
- Désactiver ou restreindre l'accès: Désactivez le service SSL-VPN s'il n'est pas nécessaire, limitez l'accès aux plages d'adresses IP de confiance et désactivez l'accès administratif à toute interface externe (connectée à Internet).
Le Centre pour la cybersécurité recommande aux organismes de prendre les mesures suivantes:
- Évaluer les installations des produits Fortinet touchés et détecter des signes d'exploitation;
- Appliquer des correctifs logiciels aux produits Fortinet touchés dès qu'ils sont disponibles.
De plus, le Centre pour la cybersécurité recommande fortement aux organismes de mettre en œuvre les 10 mesures de sécurité des TINote de bas de page 6 du Centre pour la cybersécurité, en particulier celles liées aux stratégies suivantes:
- Intégrer, surveiller et défendre les passerelles Internet;
- appliquer des correctifs aux applications et aux systèmes d'exploitation;
- isoler les applications Web.
Si les destinataires relèvent des activités semblables aux informations fournies dans la présente alerte, elles et ils sont invités à le signaler par l'entremise de Mon cyberportail ou par courriel à contact@cyber.gc.ca.
Rapports de Partenaires
- NCSC NZ – CVEs affecting Fortinet FortiOS products (en anglais seulement)
- CERT NZ – Malicious activity due to previously exploited vulnerabilities in Fortinet FortiOS products (en anglais seulement)
- CISA – Fortinet releases advisory on new post-exploitation technique for known vulnerabilities (en anglais seulement)
À Propos du Centre pour la Cybersécurité
Le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) mène ses activités sous l'égide du Centre de la sécurité des télécommunications. Il constitue l'autorité canadienne en matière de cybersécurité et dirige les interventions du gouvernement lors d'événements liés à la cybersécurité. Le personnel du Centre pour la cybersécurité agit à titre d'équipe nationale d'intervention en cas d'incident lié à la sécurité informatique et travaille étroitement avec les ministères, les exploitants d'infrastructures essentielles, les entreprises canadiennes et des partenaires internationaux. Il les aide à se préparer à un incident de cybersécurité, intervient en cas d'incident de cybersécurité, atténue les conséquences qui en découlent et les aide à rétablir leurs activités. Ce faisant, il offre des conseils et du soutien spécialisés, et coordonne les communications d'information et l'intervention en cas d'incident. Le Centre pour la cybersécurité est à l'écoute des entités externes et favorise les partenariats visant à créer un cyberespace canadien fort et résilient.