28/12/2024

Actu Cybersécurité

Panique chez Fortinet : une faille zero-day critique dans le VPN SSL ?

Ces dernières heures, une information inquiétante circule : les firewalls Fortinet seraient affectés par une nouvelle faille zero-day située dans la fonction VPN SSL ! Pour le moment, Fortinet ne s'est pas exprimé au sujet de cette vulnérabilité qui n'est pas connue publiquement.

Pour le moment, on trouve peu d'informations au sujet des éventuelles attaques en cours, mais cette information a été reprise par le service Cyber Veille de l'entreprise Olympe Cyberdéfense (voir ici). Cette menace est sérieuse : en exploitant cette vulnérabilité critique, un attaquant pourrait exécuter du code arbitraire ou une commande sur le firewall Fortinet. De ce fait, il pourrait compromettre le firewall afin d'en prendre le contrôle total.

Pour le moment, les versions identifiées comme étant vulnérables sont les suivantes :

  • FortiOS version 7.2.0 à 7.2.2
  • FortiOS version 7.0.0 à 7.0.8
  • FortiOS version 6.4.0 à 6.4.10
  • FortiOS version 6.2.0 à 6.2.11
  • FortiOS-6K7K version 7.0.0 à 7.0.7
  • FortiOS-6K7K version 6.4.0 à 6.4.9
  • FortiOS-6K7K version 6.2.0 à 6.2.11
  • FortiOS-6K7K version 6.0.0 à 6.0.14

À ce jour, la dernière version de FortiOS est la version 7.2.3. La fonction de VPN SSL est très souvent activée par les entreprises qui utilisent des firewalls FortiGate dans le but de mettre en place un accès distant sur les postes de travail des salariés. Puisque Fortinet ne s'est pas encore exprimé au sujet de cette vulnérabilité, et qu'elle semble à la fois critique et facile à exploiter, il est préférable de désactiver temporairement l'accès VPN SSL au sein de son entreprise (même si cela n'est pas sans conséquence, je veux bien vous croire).

De manière générale, pensez à restreindre l'accès à votre VPN pour autoriser les connexions uniquement à partir des pays dans lesquels vos utilisateurs se situent. Cet accès conditionnel permettra de limiter les tentatives d'attaques de manière générale.

Dès que de nouvelles informations seront disponibles, cet article sera mis à jour.

Il y a quelques jours, Fortinet a également corrigé une faille importante (CVE-2022-35843) dans le composant d'authentification en SSH de FortiOS et de FortiProxy. Des correctifs ont été inclus dans les versions 7.2.2, 7.0.8 et 6.4.10 de FortiOS, ainsi que dans les versions 7.0.7 et 2.0.11 de FortiProxy.

⭐ Mise à jour du 12/12/2022 à 17h45 :

L'éditeur Fortinet a mis en ligne un bulletin de sécurité sur son site où il mentionne cette nouvelle faille de sécurité. Cela confirme les affirmations de la première version de cet article. En matière d'indicateurs de compromissions, Fortinet précise que cela se traduit par de nombreuses entrées de log comme celle-ci :

Logdesc="Application crashed" and msg="[...] application:sslvpnd,[...], Signal 11 received, Backtrace: [...]"

Ainsi que des flux sortants vers des adresses IP malveillantes :

188.34.130.40:444
103.131.189.143:30080,30081,30443,20443
192.36.119.61:8443,444
172.247.168.153:8033

Pour se protéger contre cette vulnérabilité, il convient de mettre à jour son boitier ! Voici les versions qui protègent de cette vulnérabilité :

  • FortiOS version 7.2.3 ou supérieur
  • FortiOS version 7.0.9 ou supérieur
  • FortiOS version 6.4.11 ou supérieur
  • FortiOS version 6.2.12 ou supérieur
  • FortiOS-6K7K version 7.0.8 ou supérieur
  • FortiOS-6K7K version 6.4.10 ou supérieur
  • FortiOS-6K7K version 6.2.12 ou supérieur
  • FortiOS-6K7K version 6.0.15 ou supérieur

Dans le cas où la mise à jour ne peut pas être déployée, il reste préférable de désactiver l'accès VPN SSL car Fortinet précise : "Fortinet a connaissance d'un cas où cette vulnérabilité a été exploitée." - Malheureusement, cela pourrait être la première attaque d'une longue série.

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

4 commentaires sur “Panique chez Fortinet : une faille zero-day critique dans le VPN SSL ?

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.