Le correctif qui n’a pas fermé la porte
Fortinet a révélé en avril 2025 qu’un acteur malveillant avait mis au point une technique de post-exploitation inédite pour maintenir un accès persistant aux appareils FortiGate bien après la correction des vulnérabilités d’origine. Les campagnes de compromission initiales remontent à 2023, exploitant trois CVE critiques : CVE-2022-42475, CVE-2023-27997 et CVE-2024-21762. Ce qui rendait cette attaque exceptionnelle n’était pas la compromission initiale, mais ce qui suivait : les attaquants créaient des liens symboliques dans le répertoire des fichiers de langue SSL-VPN pointant vers le système de fichiers racine de l’appareil. Ces fichiers de langue étant accessibles publiquement sur les appareils avec SSL-VPN activé, le symlink offrait aux attaquants un accès persistant en lecture seule aux fichiers sensibles, incluant les configurations, les identifiants et les certificats.
La Shadowserver Foundation a confirmé que 16 620 appareils FortiGate exposés sur Internet étaient compromis par cette porte dérobée en avril 2025. La répartition géographique révèle une empreinte mondiale : l’Asie en tête avec 7 886 appareils affectés, suivie de l’Europe avec 3 766, l’Amérique du Nord avec 3 217, l’Amérique du Sud avec 1 054, l’Afrique avec 399 et l’Océanie avec 298.
Comment fonctionne le mécanisme de persistance par symlink
La technique exploite une caractéristique de conception de FortiOS plutôt qu’un bug logiciel. Les appareils FortiGate avec SSL-VPN activé servent des fichiers de langue depuis un répertoire accessible aux utilisateurs. Les attaquants disposant d’un accès préalable ont créé un lien symbolique dans ce répertoire pointant vers le système de fichiers racine. Comme le symlink existait dans le système de fichiers utilisateur plutôt que dans le système de fichiers système, les correctifs et mises à jour de firmware standard ne le supprimaient pas. Les mécanismes de vérification d’intégrité de FortiOS n’ont pas non plus signalé la modification, car le symlink résidait dans un espace normalement considéré comme sûr.
Le résultat : même après l’application des correctifs pour les CVE d’origine, le symlink restait en place. Les attaquants pouvaient accéder à l’URL publique du fichier de langue et traverser le symlink pour lire n’importe quel fichier sur l’appareil, incluant les configurations en cours d’exécution avec des identifiants en clair ou hachés, les bases de données d’utilisateurs VPN et les identifiants LDAP.
Ceci n’est pas théorique. Le Centre canadien pour la cybersécurité, le CERT français et la CISA ont tous émis des avis confirmant l’exploitation active. En février 2026, des chercheurs d’ITRES Labs ont documenté CVE-2025-68686, une technique de double barre oblique contournant le correctif initial de Fortinet contre les symlinks, prolongeant davantage la fenêtre de menace.
Publicité
Les vulnérabilités sous-jacentes
Les trois CVE qui ont permis la compromission initiale représentent certaines des failles FortiOS les plus critiques de ces dernières années. CVE-2024-21762 est une vulnérabilité d’écriture hors limites dans FortiOS SSLVPNd avec un score CVSS de 9.8, permettant à des attaquants distants non authentifiés d’exécuter du code arbitraire via des requêtes HTTP malformées. La CISA l’a ajoutée au catalogue des vulnérabilités exploitées connues en février 2024. CVE-2023-27997 est un débordement de tampon heap dans le composant SSL-VPN, et CVE-2022-42475 est un débordement de tampon basé sur le heap qui a été activement exploité comme zero-day.
Des correctifs sont disponibles pour les trois vulnérabilités, mais le mécanisme de persistance par symlink signifie que la correction seule est insuffisante. Les organisations qui ont corrigé sans effectuer d’analyse post-compromission ont pu involontairement laisser la porte dérobée en place.
Réponse de la CISA et réponse mondiale
La CISA a émis un avis pressant les organisations à prendre des mesures immédiates au-delà de la simple correction. Les étapes recommandées incluent la mise à niveau vers FortiOS versions 7.6.2, 7.4.7, 7.2.11, 7.0.17 ou 6.4.16, qui suppriment spécifiquement les fichiers symlink malveillants. La CISA a également conseillé de réinitialiser tous les identifiants associés à la fonctionnalité SSL-VPN, incluant les comptes utilisateurs, les identifiants LDAP et les clés pré-partagées.
Pour les organisations incapables de corriger immédiatement, la CISA a recommandé de désactiver entièrement la fonctionnalité SSL-VPN jusqu’à ce que la mise à niveau puisse être effectuée. L’avis de Fortinet a souligné la nécessité d’examiner les configurations des appareils à la recherche de symlinks non autorisés et de mener une analyse forensique sur tout appareil ayant eu le SSL-VPN activé pendant la fenêtre de vulnérabilité.
Ce qui rend cette attaque significative
Cet incident représente un changement de paradigme dans la façon dont les défenseurs doivent envisager les correctifs. La gestion traditionnelle des vulnérabilités repose sur l’hypothèse que l’application d’un correctif comble la faille de sécurité. L’attaque par symlink sur FortiGate prouve que les adversaires sophistiqués planifient désormais en fonction du déploiement des correctifs, positionnant à l’avance des mécanismes de persistance qui survivent au processus de remédiation. Cela oblige les organisations à adopter une approche plus globale qui traite chaque vulnérabilité corrigée comme un indicateur potentiel de compromission antérieure nécessitant une investigation forensique.
L’échelle — plus de 16 000 appareils sur six continents — souligne également l’omniprésence des appliances FortiGate dans les infrastructures critiques. Chaque appareil compromis expose potentiellement non seulement la configuration du pare-feu, mais aussi l’ensemble de la topologie réseau, les identifiants VPN et l’infrastructure d’authentification qui se trouvent derrière.
Questions Fréquemment Posées
Qu’est-ce que la technique de persistance par symlink sur FortiGate et pourquoi est-elle dangereuse ?
Les attaquants créent des liens symboliques dans le répertoire des fichiers de langue SSL-VPN de FortiGate pointant vers le système de fichiers racine de l’appareil. Ces fichiers de langue étant accessibles publiquement, le symlink offre aux attaquants un accès en lecture seule à tous les fichiers de l’appareil, incluant les configurations et les identifiants. La technique survit à la correction standard car le symlink existe dans le système de fichiers utilisateur, que les mises à jour de firmware ne nettoient pas.
Comment les organisations peuvent-elles détecter si leurs appareils FortiGate ont été compromis ?
Les organisations doivent mettre à niveau vers FortiOS 7.6.2, 7.4.7, 7.2.11, 7.0.17 ou 6.4.16, qui contiennent des vérifications spécifiques pour supprimer les symlinks malveillants. Après la mise à niveau, effectuez un examen forensique des configurations de l’appareil et vérifiez la présence de fichiers non autorisés dans le répertoire de langue SSL-VPN. La CISA recommande également de réinitialiser tous les identifiants potentiellement exposés.
La correction des appareils FortiGate supprime-t-elle la porte dérobée symlink ?
La correction standard seule ne supprime pas le symlink. Seules les versions spécifiques de FortiOS listées dans l’avis de remédiation contiennent la logique pour détecter et supprimer le lien symbolique malveillant. Les organisations ayant appliqué des correctifs antérieurs sans mettre à niveau vers ces versions spécifiques peuvent encore avoir la porte dérobée en place.
Sources et lectures complémentaires
- Over 16,000 Fortinet Devices Compromised with Symlink Backdoor — BleepingComputer
- Fortinet Releases Advisory on New Post-Exploitation Technique — CISA
- Fortinet Warns Attackers Retain FortiGate Access Post-Patching — The Hacker News
- Over 14K Fortinet Devices Compromised via New Attack Method — Cybersecurity Dive
- Compromise and Persistent Access of Fortinet FortiOS Products — Canadian Centre for Cyber Security
- Hackers Exploit Old FortiGate Vulnerabilities, Use Symlink Trick — Help Net Security
