Pour investiguer une intrusion au sein d’un environnement Fortinet, les analystes doivent comprendre le rôle de chaque composant architectural.
FortiOS (Le Cerveau)
Le système d’exploitation propriétaire et durci (hardened) propulsant la plupart des équipements Fortinet. Il est basé sur un noyau Linux fortement personnalisé et allégé (utilisant BusyBox). S’agissant d’un système fermé, les agents EDR traditionnels ne peuvent pas y être installés, ce qui en fait une cachette attrayante pour les adversaires sophistiqués.
FortiGate (Le Cœur)
Le produit phare. Il s’agit d’un pare-feu de nouvelle génération (NGFW) qui intègre des passerelles VPN, des systèmes de prévention d’intrusion (IPS), du filtrage web et du routage. C’est la défense périmétrique principale et la surface d’attaque la plus exposée.
FortiManager (Le Chef d'Orchestre)
La console de gestion centralisée utilisée pour administrer des flottes de FortiGates. Implication DFIR : si un attaquant compromet FortiManager, il peut pousser des modifications de configuration malveillantes, altérer les tables de routage ou désactiver les politiques IPS sur l’ensemble de l’infrastructure mondiale simultanément.
FortiAnalyzer (La Boîte Noire)
La plateforme centralisée de journalisation et d’analyse. Tous les équipements de la Fabric y envoient leurs journaux. Lors d’un incident, FortiAnalyzer est la Source de Vérité Absolue. Il fonctionne comme un SIEM spécialisé pour l’écosystème.
Le paradoxe des équipements de sécurité périmétrique est que, pour protéger le réseau, ils doivent être exposés à l’Internet hostile. Cela en fait des cibles de choix pour les acteurs étatiques (comme Volt Typhoon) et les affiliés de ransomwares.
Le portail VPN SSL est le composant le plus fréquemment exploité de l’écosystème Fortinet.
Des vulnérabilités critiques (telles que CVE-2023-27997, CVE-2024-21762, et des variantes plus récentes) ciblent régulièrement le démon VPN SSL de FortiOS (sslvpnd). Ces vulnérabilités permettent souvent une exécution de code à distance (RCE) non authentifiée.
Une fois exploitées, l’attaquant obtient une tête de pont hautement privilégiée et furtive directement sur le réseau interne, contournant ainsi tous les contrôles d’accès externes.
Lorsqu’une compromission est suspectée, les analystes doivent immédiatement pivoter vers FortiAnalyzer pour examiner les journaux historiques, car les journaux locaux sur le FortiGate peuvent avoir subi une rotation (écrasement) ou avoir été falsifiés.
Fortimanager_Access ou admin_temp) ou la modification suspecte de politiques de pare-feu autorisant le trafic entrant.sslvpnd redémarrant fréquemment) est un indicateur de haute fidélité d’une tentative d’exploitation active de débordement de tampon.Si les journaux ne sont pas concluants, les analystes doivent se connecter directement en SSH au FortiGate pour traquer une compromission active. Les outils forensiques Linux standards étant indisponibles, les analystes doivent s’appuyer sur des commandes CLI spécifiques à FortiOS.
# Les acteurs de la menace avancés modifient les fichiers de l'OS sous-jacent pour maintenir leur persistance.# Cette commande compare les hashs du système de fichiers actuel avec le manifeste officiel de Fortinet.execute integrity verify# Tout fichier modifié signalé ici (particulièrement dans /bin ou /sbin) indique une compromission sévère par rootkit.# Lire le journal des crashs pour identifier les démons défaillants.# Des crashs fréquents dans 'sslvpnd' ou 'httpsd' suggèrent fortement une exploitation active.diagnose debug crashlog read# Afficher les processus consommant le plus de ressources (similaire à 'top' sous Linux)# Recherchez des processus inattendus ou des processus standards consommant 99% du CPUdiagnose sys top