Fortinet a un problème. Il s’avère que des pirates chinois se sont introduits dans au moins 20 000 de ses appareils VPN fin 2022. Ils y sont parvenus en exploitant une vulnérabilité jusque-là inconnue que Fortinet n'a révélée que deux semaines après sa découverte puis sa suppression.
La vulnérabilité, numérotée CVE-2022-42475 et notée 9,8 sur une échelle de gravité allant jusqu'à 10 points, implique un dépassement de tampon de données, qui permet aux pirates d'exécuter à distance du code malveillant sur l'appareil attaqué. Fortinet a discrètement corrigé la vulnérabilité le 28 novembre 2022, mais en a informé le public plus de six semaines plus tard.
Des pirates chinois ont attaqué des appareils VPN à l'aide d'un logiciel de porte dérobée appelé CoatHanger. Les premières informations sur l'existence d'une telle menace ont été fournies par le ministère néerlandais de la Défense. On estime que les pirates informatiques chinois ont agi en toute impunité pendant deux mois avant que leurs activités ne soient remarquées. De cette manière, ils ont pu infecter plus de 20 000 appareils VPN FortiGate utilisés par de nombreuses agences gouvernementales occidentales, organisations internationales et entreprises de l’industrie militaire.
Il existe un risque que les pirates chinois aient toujours accès à de nombreux appareils VPN Fortinet, car la porte dérobée CoatHanger est très difficile à détecter et à supprimer.