Share
## https://sploitus.com/exploit?id=A458C90C-7CD2-5F1E-9D03-CF2E20E2A89A
# Belsen_Group et exploitation de la CVE-2022-40684
## Mise en contexte
Le 29 janvier 2025, un utilisateur du forum cybercriminel Belsen_Group a publié un message affirmant détenir 15,000 équipements Fortinet compromis, avec des fichiers de configuration et des mots de passe VPN.
Il propose désormais 1,000 cibles exclusives à la vente sur le dark web.
Cependant, notre analyse des fichiers montre que Belsen_Group n'est pas à l'origine de cette compromission, mais qu'il a simplement recyclé une fuite plus ancienne, résultant de l'exploitation de la vulnérabilité CVE-2022-40684, une faille critique permettant un accÚs administrateur non authentifié via HTTP/HTTPS.
## Preuves dâune compromission antĂ©rieure via la CVE-2022-40684
### Données extraites de la fuite :
* 15,474 Ă©quipements Fortinet compromis
* 9,088 fichiers de mots de passe VPN récupérés
* 6,386 fichiers absents (supprimés ou non capturés)
* 41.27% des configurations fuitées sans fichier de mots de passe VPN
### Informations détailles
========== RĂSUMĂ ==========
Total des sous-répertoires : 15 474
Total des fichiers 'config.conf' : 15 474
Total des fichiers 'vpn-passwords.txt' : 9 088
Total des adresses IP : 15 474
Total des adresses IP uniques : 15 469
Total des adresses e-mail extraites : 43360
Total des adresses e-mail uniques : 25601
========== VERSIONS IMPACTĂES ==========
Version 7.0.0 : 1 376 appareils impactés
Version 7.0.1 : 1 882 appareils impactés
Version 7.0.2 : 1 252 appareils impactés
Version 7.0.3 : 1 181 appareils impactés
Version 7.0.4 : 320 appareils impactés
Version 7.0.5 : 2 395 appareils impactés
Version 7.0.6 : 2 245 appareils impactés
Version 7.2.0 : 2 593 appareils impactés
Version 7.2.1 : 2 209 appareils impactés
Version 7.2.2 : 1 appareil impacté
Version inconnue : 21 appareils impactés (fichiers corrompues ou manquant)
### Versions Fortinet vulnérables :
* FortiOS 7.0.0 â 7.0.6
* FortiOS 7.2.0 â 7.2.1
Fortinet avait publiĂ© un correctif en novembre 2022 (FortiOS 7.0.7 et 7.2.2), ce qui signifie que ces fuites proviennent dâune compromission ayant eu lieu avant cette date.
### Indicateurs de compromission (IOCs) détectés
Nos analyses ont révélé deux marqueurs clés d'intrusion, confirmant une exploitation massive de CVE-2022-40684 :
* user=Local_Process_Access (15,453 occurrences)
Indicateur confirmĂ© par Fortinet comme signe dâexploitation de CVE-2022-40684.
Permet un accÚs non authentifié aux systÚmes FortiGate via des commandes administratives cachées.
* fortigate-tech-support (9,335 occurrences)
Ajout dâun faux compte administrateur ("super_admin") utilisĂ© pour maintenir un accĂšs permanent.
Ce compte est visible dans les fichiers de configuration :
Ce compte a été massivement utilisé dans les exploits liés à CVE-2022-40684.
## Dans les fichiers récupérés, un script Python suspect a été découvert à la racine, nommé I.py.
Que fait ce script ?
Ajoute la signature "Belsen Group" Ă la premiĂšre ligne des fichiers passwords.txt.
Renomme les fichiers passwords.txt en vpn-passwords.txt.
Pourquoi ce script prouve que Belsen_Group nâest pas Ă lâorigine du hack ?
Aucun vol de donnĂ©es â Le script ne fait que modifier localement les fichiers, il ne les exfiltre pas.
Ajoute une signature visible "-=-= Belsen Group -=-=" afin de prĂ©tendre ĂȘtre Ă l'origine de la compromission.
Cela signifie que Belsen_Group nâa fait que rĂ©cupĂ©rer et rĂ©utiliser une fuite existante.
Ce groupe n'a donc aucun lien avec la compromission initiale, il se contente de recycler et revendre des accÚs déjà compromis.
## Le script ayant servi Ă lâanalyse est disponible dans ce repository, afin que vous puissiez reproduire nos recherches ou l'amĂ©liorer.
Vous y retrouverez Ă©galement un tableau listant les IPs compromises, indiquant :
* Le nombre de comptes compromis
* La version de FortiOS impactée
* La présence ou non des IOCs détectés
Protégez vos infrastructures ! Faites un audit immédiat et appliquez les correctifs nécessaires.
## Sources
* https://vulners.com/cve/CVE-2022-40684
* https://www.fortiguard.com/psirt/FG-IR-22-377