Panique chez Fortinet : une faille zero-day critique dans le VPN SSL ?
Ces dernières heures, une information inquiétante circule : les firewalls Fortinet seraient affectés par une nouvelle faille zero-day située dans la fonction VPN SSL ! Pour le moment, Fortinet ne s'est pas exprimé au sujet de cette vulnérabilité qui n'est pas connue publiquement.
Pour le moment, on trouve peu d'informations au sujet des éventuelles attaques en cours, mais cette information a été reprise par le service Cyber Veille de l'entreprise Olympe Cyberdéfense (voir ici). Cette menace est sérieuse : en exploitant cette vulnérabilité critique, un attaquant pourrait exécuter du code arbitraire ou une commande sur le firewall Fortinet. De ce fait, il pourrait compromettre le firewall afin d'en prendre le contrôle total.
Pour le moment, les versions identifiées comme étant vulnérables sont les suivantes :
- FortiOS version 7.2.0 à 7.2.2
- FortiOS version 7.0.0 à 7.0.8
- FortiOS version 6.4.0 à 6.4.10
- FortiOS version 6.2.0 à 6.2.11
- FortiOS-6K7K version 7.0.0 à 7.0.7
- FortiOS-6K7K version 6.4.0 à 6.4.9
- FortiOS-6K7K version 6.2.0 à 6.2.11
- FortiOS-6K7K version 6.0.0 à 6.0.14
À ce jour, la dernière version de FortiOS est la version 7.2.3. La fonction de VPN SSL est très souvent activée par les entreprises qui utilisent des firewalls FortiGate dans le but de mettre en place un accès distant sur les postes de travail des salariés. Puisque Fortinet ne s'est pas encore exprimé au sujet de cette vulnérabilité, et qu'elle semble à la fois critique et facile à exploiter, il est préférable de désactiver temporairement l'accès VPN SSL au sein de son entreprise (même si cela n'est pas sans conséquence, je veux bien vous croire).
De manière générale, pensez à restreindre l'accès à votre VPN pour autoriser les connexions uniquement à partir des pays dans lesquels vos utilisateurs se situent. Cet accès conditionnel permettra de limiter les tentatives d'attaques de manière générale.
Dès que de nouvelles informations seront disponibles, cet article sera mis à jour.
Il y a quelques jours, Fortinet a également corrigé une faille importante (CVE-2022-35843) dans le composant d'authentification en SSH de FortiOS et de FortiProxy. Des correctifs ont été inclus dans les versions 7.2.2, 7.0.8 et 6.4.10 de FortiOS, ainsi que dans les versions 7.0.7 et 2.0.11 de FortiProxy.
⭐ Mise à jour du 12/12/2022 à 17h45 :
L'éditeur Fortinet a mis en ligne un bulletin de sécurité sur son site où il mentionne cette nouvelle faille de sécurité. Cela confirme les affirmations de la première version de cet article. En matière d'indicateurs de compromissions, Fortinet précise que cela se traduit par de nombreuses entrées de log comme celle-ci :
Logdesc="Application crashed" and msg="[...] application:sslvpnd,[...], Signal 11 received, Backtrace: [...]"
Ainsi que des flux sortants vers des adresses IP malveillantes :
188.34.130.40:444 103.131.189.143:30080,30081,30443,20443 192.36.119.61:8443,444 172.247.168.153:8033
Pour se protéger contre cette vulnérabilité, il convient de mettre à jour son boitier ! Voici les versions qui protègent de cette vulnérabilité :
- FortiOS version 7.2.3 ou supérieur
- FortiOS version 7.0.9 ou supérieur
- FortiOS version 6.4.11 ou supérieur
- FortiOS version 6.2.12 ou supérieur
- FortiOS-6K7K version 7.0.8 ou supérieur
- FortiOS-6K7K version 6.4.10 ou supérieur
- FortiOS-6K7K version 6.2.12 ou supérieur
- FortiOS-6K7K version 6.0.15 ou supérieur
Dans le cas où la mise à jour ne peut pas être déployée, il reste préférable de désactiver l'accès VPN SSL car Fortinet précise : "Fortinet a connaissance d'un cas où cette vulnérabilité a été exploitée." - Malheureusement, cela pourrait être la première attaque d'une longue série.
You realise this information is under NDA, right?
Hello, I don’t known because I have seen this information on other websites. That’s why I shared the information.
Complément d’infos : https://www.fortiguard.com/psirt/FG-IR-22-398
Merci, je venais de mettre à jour l’article justement 😉