Faille critique chez Fortinet : un exploit est disponible ! Mettez à jour maintenant !
Depuis quelques jours, la faille de sécurité critique CVE-2022-40684 qui affecte les clients de Fortinet fait beaucoup parler d'elle. La mauvaise nouvelle, c'est qu'il existe un exploit PoC permettant de montrer comment exploiter cette vulnérabilité ! Pour les retardataires, il devient vraiment urgent d'appliquer le correctif officiel !
Pour rappel, la faille de sécurité CVE-2022-40684 permet à un attaquant non authentifié de s'authentifier à distance sur un appareil Fortinet vulnérable en outrepassant la phase d'authentification du système. Elle est présente dans l'interface d'administration du système de plusieurs produits Fortinet : les firewalls FortiGate, les proxy Web FortiProxy et les instances FortiSwitch Manager.
Les équipements dont l'interface de gestion est exposée sur Internet sont particulièrement vulnérables ! Une recherche sur Shodan avait permis de voir qu'il y avait plus de 100 000 firewalls FortiGate exposés sur Internet à travers le monde.
Un exploit PoC pour la CVE-2022-40684
Les chercheurs en sécurité de chez Horizon3.ai ont mis en ligne un exploit PoC (Proof-of-concept) et des détails techniques supplémentaires au sujet de cette vulnérabilité.
Dans le rapport mis en ligne et disponible à cette adresse, on peut lire : "Un attaquant peut utiliser cette vulnérabilité pour faire à peu près tout ce qu'il veut sur le système vulnérable. Cela inclut la modification des configurations réseau, l'ajout de nouveaux utilisateurs et la capture de paquets." - Autant dire qu'en exploitant cette vulnérabilité, on peut mettre un pied dans l'entreprise qui utilise un appareil vulnérable.
Cette faille de sécurité est utilisée dans le cadre d'attaques, et maintenant qu'un exploit PoC est disponible, la situation devrait empirer ! De son côté, l'agence américaine CISA a ajouté cette faille de sécurité à sa liste des vulnérabilités exploitées dans le cadre d'attaques. C'est également un signe.
Comment se protéger de la vulnérabilité CVE-2022-40684 ?
Au sujet des versions affectées, voici ce que nous dit Fortinet dans son bulletin de sécurité :
- FortiOS : version 7.2.0 à 7.2.1
- FortiOS : version 7.0.0 à 7.0.6
- FortiProxy : version 7.2.0
- FortiProxy : version 7.0.0 à 7.0.6
- FortiSwitchManager : version 7.2.0
- FortiSwitchManager : version 7.0.0
Remarque : pour FortiOS, les versions 5.x, 6.x ne sont PAS impactées
Et pour se protéger, voici les versions à installer :
- Mise à niveau vers la version FortiOS 7.2.2 ou supérieure
- Mise à niveau vers FortiOS version 7.0.7 ou supérieure
- Mise à niveau vers FortiProxy version 7.2.1 ou supérieure
- Mise à niveau vers FortiProxy version 7.0.7 ou supérieure
- Mise à niveau vers FortiSwitchManager version 7.2.1 ou supérieure
A vos mises à jour !