{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"FortiOS versions 7.0.x ant\u00e9rieures \u00e0 7.0.17","product":{"name":"FortiOS","vendor":{"name":"Fortinet","scada":false}}},{"description":"FortiOS versions 7.4.x ant\u00e9rieures \u00e0 7.4.7","product":{"name":"FortiOS","vendor":{"name":"Fortinet","scada":false}}},{"description":"FortiOS versions 7.6.x ant\u00e9rieures \u00e0 7.6.2","product":{"name":"FortiOS","vendor":{"name":"Fortinet","scada":false}}},{"description":"FortiOS versions 7.2.x ant\u00e9rieures \u00e0 7.2.11","product":{"name":"FortiOS","vendor":{"name":"Fortinet","scada":false}}},{"description":"FortiOS versions ant\u00e9rieures \u00e0 6.4.16","product":{"name":"FortiOS","vendor":{"name":"Fortinet","scada":false}}}],"affected_systems_content":"L'\u00e9diteur indique que les clients qui n'ont jamais activ\u00e9 la fonctionnalit\u00e9 de SSL-VPN ne sont pas impact\u00e9s.","closed_at":"2025-08-07","content":"## Solutions\n\nL'\u00e9diteur a publi\u00e9 des versions correctives pour les branches 6.4.x, 7.0.x, 7.2.x, 7.4.x et 7.6.x. La mise \u00e0 jour vers une de ces versions supprime les fichiers malveillants. Dans le cas de l'utilisation d'une version qui n'est plus support\u00e9e, le CERT-FR recommande fortement de migrer vers une version corrective.\n\nPour les utilisateurs avec un contrat de support et une licence IPS activ\u00e9e, l'\u00e9diteur a supprim\u00e9 automatiquement les fichiers malveillants. Le CERT-FR a connaissance de nombreux \u00e9quipements pour lesquels ces conditions ne sont pas r\u00e9unies.\n\nL'\u00e9diteur a indiqu\u00e9 avoir contact\u00e9 les clients avec des \u00e9quipements compromis. Le CERT-FR invite les propri\u00e9taires d'\u00e9quipements \u00e0 consulter les adresses de messageries pouvant avoir \u00e9t\u00e9 contact\u00e9es par Fortinet ou \u00e0 relayer cette demande aux gestionnaires de l'\u00e9quipement si cela est applicable.\n\n**Cependant, la simple suppression de ces \u00e9l\u00e9ments et l'application des mises \u00e0 jour n'est pas suffisante en cas de compromission**. Dans cette situation:\n1. isoler les \u00e9quipements compromis du r\u00e9seau et r\u00e9aliser un gel de donn\u00e9es (instantan\u00e9 pour les machines virtuelles, isolement de l\u2019\u00e9quipement s\u2019il s\u2019agit d\u2019un \u00e9quipement physique) \u00e0 des fins d\u2019investigations approfondies ;\n2. r\u00e9initialiser tous les secrets de fa\u00e7on g\u00e9n\u00e9rale (mot de passe, certificat, etc.) configur\u00e9s sur les \u00e9quipements affect\u00e9s ; \n3. r\u00e9initialiser tous les secrets d\u2019authentification susceptibles d\u2019avoir transit\u00e9s sur les \u00e9quipements affect\u00e9s (si applicable) : mots de passe, jetons d'identit\u00e9, cl\u00e9s cryptographiques...;\n4. rechercher toutes traces de lat\u00e9ralisation sur le reste du syst\u00e8me d\u2019information, notamment :\n    * en cherchant les connexions ou tentatives de connexion vers Internet depuis l'\u00e9quipement compromis ;\n    * puis en cherchant ces adresses IP de destination pour v\u00e9rifier si d\u2019autres machines ont tent\u00e9 une connexion ;\n    * en analysant les journaux des EDR ou les journaux Windows pour identifier des connexions depuis l'\u00e9quipement compromis. \n5. identifier les comptes du domaine Active Directory qui seraient configur\u00e9s sur l'\u00e9quipement suspect\u00e9 puis :\n    * v\u00e9rifier l'activit\u00e9 r\u00e9alis\u00e9e \u00e0 partir de ce compte ;\n    * r\u00e9initialiser les secrets associ\u00e9s \u00e0 ces comptes afin d'\u00e9viter que l'attaquant ne puisse r\u00e9utiliser ailleurs les identifiants \u00e9ventuellement obtenus sur l'\u00e9quipement.\n\nLe CERT-FR vous recontactera si n\u00e9cessaire pour le traitement de l\u2019incident ou vous communiquera des \u00e9l\u00e9ments suppl\u00e9mentaires. En cas de suspicion de compromission, il est recommand\u00e9 de consulter les [bons r\u00e9flexes en cas d'intrusion sur votre syst\u00e8me d'information](https://www.cert.ssi.gouv.fr/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/) [5].","cves":[],"links":[{"title":"[3] Alerte CERTFR-2023-ALE-004","url":"https://www.cert.ssi.gouv.fr/alerte/CERTFR-2023-ALE-004/"},{"title":"[4] Alerte CERTFR-2024-ALE-004","url":"https://www.cert.ssi.gouv.fr/alerte/CERTFR-2024-ALE-004/"},{"title":"[1] Billet de blogue Fortinet du 10 avril 2025","url":"https://www.fortinet.com/blog/psirt-blogs/analysis-of-threat-actor-activity"},{"title":"[5] Les bons r\u00e9flexes en cas d\u2019intrusion sur un syst\u00e8me d\u2019information","url":"https://www.cert.ssi.gouv.fr/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/"},{"title":"[2] Alerte CERTFR-2022-ALE-012","url":"https://www.cert.ssi.gouv.fr/alerte/CERTFR-2022-ALE-012/"},{"title":"Documentation 230694 relative aux actions \u00e0 suivre en cas de compromission","url":"https://community.fortinet.com/t5/FortiGate/Technical-Tip-Recommended-steps-to-execute-in-case-of-a/ta-p/230694"}],"reference":"CERTFR-2025-ALE-004","revisions":[{"description":"Version initiale","revision_date":"2025-04-11T00:00:00.000000"},{"description":"Cl\u00f4ture de l'alerte. Cela ne signifie pas la fin d'une menace. Seule l'application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l'exploitation de la vuln\u00e9rabilit\u00e9 correspondante.","revision_date":"2025-08-07T00:00:00.000000"}],"risks":[{"description":"Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"}],"summary":"Fortinet a publi\u00e9 le 10 avril 2025 un billet de blogue [1] indiquant l'utilisation d'une technique de post-exploitation qui permet une atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es de l'ensemble du syst\u00e8me des \u00e9quipements Fortigate affect\u00e9s.\nCette technique repose sur l'utilisation d'un lien symbolique d\u00e9pos\u00e9 sur le syst\u00e8me \u00e0 la suite d'une compromission de l'\u00e9quipement par exploitation, entre autres, des vuln\u00e9rabilit\u00e9s CVE-2022-42475 [2], CVE-2023-27997 [3] ou CVE-2024-21762 [4]. \n\nLe CERT-FR a connaissance d'une campagne massive, avec de nombreux \u00e9quipements compromis en France. Lors d'op\u00e9rations de r\u00e9ponse \u00e0 incident, le CERT-FR a pris connaissance de compromissions ayant eu lieu d\u00e8s le d\u00e9but de l'ann\u00e9e 2023.","title":"Activit\u00e9s de post-exploitation dans Fortinet FortiGate","vendor_advisories":[]}