Firewalls Fortinet : une faille critique pour le VPN SSL, qui pourrait avoir été exploité dans des attaques
Voilà, nous en savons beaucoup plus sur la nouvelle faille de sécurité qui affecte les équipements de chez Fortinet ! C'est bien une faille critique dans le VPN SSL et il est fort probable qu'elle a déjà été exploitée dans de précédentes attaques. Faisons le point.
Associée à la référence CVE-2023-27997, cette faille de sécurité critique présente dans la fonction VPN SSL de FortiOS et FortiProxy hérite d'un score CVSS de 9.2 sur 10. En exploitant cette vulnérabilité, un attaquant non authentifié peut exécuter du code à distance sur l'équipement vulnérable à partir de requêtes spécialement conçues.
Cette faille de sécurité a été découverte dans le cadre d'un audit du code de la fonction VPN SSL ! Cet audit n'a pas été réalisé par hasard : il fait suite à une autre série d'attaques contre des organisations gouvernementales lors desquelles les pirates ont exploité la faille de sécurité zero-day CVE-2022-42475, elle aussi présente dans le module SSL-VPN de FortiOS. Vous savez, il s'agit de la vulnérabilité qui a fait beaucoup parler d'elle fin 2022...
Dans un article, Fortinet explique qu'il est fort probable que cette faille de sécurité ait été exploitée dans quelques cyberattaques : "Notre enquête a révélé qu'une vulnérabilité pourrait avoir été exploitée dans un nombre limité de cas et nous travaillons en étroite collaboration avec les clients pour surveiller la situation."
Comment se protéger de la CVE-2023-27997 ?
Vendredi dernier, Fortinet a mis en ligne des correctifs pour permettre aux entreprises de se protéger de cette vulnérabilité. Il s'agit de nouvelles versions pour FortiOS et FortiProxy. La liste des nouvelles versions est longue, et elle est disponible dans le bulletin de sécurité de Fortinet (voir ici). Ce document contient aussi la très longue liste des versions affectées, que ce soit en FortiOS ou FortiProxy.
Fortinet recommande à ses clients d'installer la mise à jour en urgence, notamment parce que cette vulnérabilité serait impliquée au sein d'attaques : "Pour cette raison, si le client a activé SSL-VPN, Fortinet conseille aux clients de prendre des mesures immédiates pour mettre à jour la version la plus récente du firmware." Et même si vous n'utilisez pas la fonction de VPN SSL, Fortinet vous encourage à faire la mise à jour.
Il y a du travail, car sur Shodan, il y a plus de 250 000 firewalls Fortigate exposés sur Internet...
Campagne d'attaques Volt Typhoon
Fortinet évoque aussi une éventuelle campagne d'attaques de Volt Typhoon, un groupe de pirates parrainés par à la Chine et spécialiste du cyberespionnage à l'encontre d'organisations critiques des États-Unis. Pour le moment, Volt Typhoon n'est pas associé à l'exploitation de la CVE-2023-27997 même s'ils sont habitués à compromettre des firewalls Fortigate.
Toutefois, cette faille de sécurité est susceptible de les intéresser comme elle peut aussi intéresser d'autres groupes de cybercriminels : on parle de centaines de milliers d'équipements exposés sur Internet et qui peuvent être vulnérables... Alors, forcément, c'est intéressant.
Bon courage pour les mises à jour !
