La vulnérabilité permettant l’exécution de code à distance est discutée depuis au moins 9 jours.
Fortinet, un fabricant de logiciels de Sécurité Réseau, a gardé une vulnérabilité critique sous silence pendant plus d’une semaine, alors que des rapports indiquent que des attaquants l’utilisent pour exécuter un code malveillant sur des serveurs utilisés par des organisations clientes sensibles.
Les représentants de Fortinet n’ont pas répondu aux questions envoyées par courriel et n’ont pas encore publié d’avis public détaillant la vulnérabilité ou le logiciel spécifique affecté. Ce manque de transparence est cohérent avec les précédentes journées zéro qui ont été exploitées contre les clients de Fortinet. En l’absence d’une source d’information faisant autorité, les clients, les journalistes et d’autres personnes ont peu d’autres moyens d’obtenir des informations que les messages sur les médias sociaux où les attaques sont discutées.
RCE signifie exécution de code à distance
Selon un post Reddit, la vulnérabilité affecte FortiManager, un outil logiciel permettant de gérer l’ensemble du trafic et des périphériques sur le réseau d’une organisation. Les versions spécifiques vulnérables, selon le post, incluent les versions de FortiManager :
- 7.6.0 et inférieures
- 7.4.4 et suivantes
- 7.2.7 et suivantes
- 7.0.12 et suivantes
- 6.4.14 et moins
Les utilisateurs de ces versions peuvent se protéger en installant les versions 7.6.1 ou supérieure, 7.4.5 ou supérieure, 7.2.8 ou supérieure, 7.0.13 ou supérieure, ou 6.4.15 ou supérieure. Des rapports indiquent que le FortiManager Cloud, basé sur le cloud, est également vulnérable.
Certains administrateurs de réseaux équipés de FortiGate déclarent avoir reçu des courriels de l’entreprise les informant des mises à jour disponibles et leur conseillant de les installer. D’autres disent ne pas avoir reçu de tels courriels. Fortigate n’a pas publié d’avis public ni de désignation CVE pour permettre aux spécialistes de la sécurité de suivre le zero-day.
La vulnérabilité fait l’objet de discussions depuis au moins le 13 octobre. Selon le chercheur indépendant Kevin Beaumont, le bogue de sécurité provient d’un paramètre par défaut de FortiManager qui permet à des appareils avec des numéros de série inconnus ou non autorisés de s’enregistrer dans le tableau de bord FortiManager d’une organisation. Les détails précis ne sont pas encore clairs, mais un commentaire maintenant supprimé sur Reddit indiquait que le zero-day permettait aux attaquants de “voler un certificat Fortigate à partir de n’importe quel Fortigate, de s’enregistrer sur votre FortiManager et d’y avoir accès”.
Citant le commentaire Reddit, M. Beaumont s’est adressé à Mastodon pour s’expliquer : “Les gens publient ouvertement ce qui se passe actuellement sur Reddit, des acteurs de la menace enregistrent de faux FortiGates dans FortiManager avec des noms d’hôtes comme ‘localhost’ et les utilisent pour obtenir un RCE.
Beaumont n’était pas immédiatement disponible pour donner plus de détails. Dans le même fil de discussion, un autre utilisateur a déclaré que d’après la brève description, il semble que les attaquants volent des certificats numériques authentifiant un appareil sur le réseau d’un client, les chargent sur un appareil FortiGate qu’ils possèdent, puis enregistrent l’appareil sur le réseau du client.
La personne a poursuivi :
A partir de là, ils peuvent configurer leur chemin dans votre réseau ou éventuellement prendre d’autres mesures d’administration (par exemple, synchroniser les configurations des appareils gérés en toute confiance avec les leurs ? L’atténuation visant à empêcher les numéros de série inconnus suggère qu’un obstacle à l’intégration rapide empêche même un appareil porteur d’un certificat ( ?) d’être inclus dans le fortimanager.
Beaumont poursuit en disant que, d’après les preuves qu’il a vues, les pirates de l’État chinois “se sont introduits dans les réseaux internes en utilisant celui-ci depuis le début de l’année, semble-t-il”.
60 000 appareils exposés
Après la publication de cet article sur Ars, Beaumont a publié un article indiquant que la vulnérabilité réside probablement dans le Protocole FortiGate-FortiManager. FGFM est le langage qui permet aux dispositifs de Pare-feu Fortigate de communiquer avec le gestionnaire sur le port 541. Comme l’a souligné Beaumont, le moteur de recherche Shodan montre que plus de 60 000 connexions de ce type sont exposées à l’Internet.
Beaumont a écrit :
Il y a une exigence pour un attaquant : vous avez besoin d’un certificat valide pour vous connecter. Cependant, vous pouvez simplement prendre un certificat d’un boîtier FortiGate et le réutiliser. Il n’y a donc pas d’obstacle à l’enregistrement.
Une fois enregistré, il y a une vulnérabilité qui permet l’exécution de code à distance sur le FortiManager lui-même via la connexion FortiGate erronée.
Depuis le FortiManager, vous pouvez alors gérer les pare-feu FortiGate en aval, voir les fichiers de configuration, obtenir des informations d’identification et modifier les configurations. Comme les MSP (Managed Service Providers) utilisent souvent le FortiManager, vous pouvez l’utiliser pour pénétrer dans les réseaux internes en aval.
En raison de la manière dont FGFM est conçu – situations de traversée NAT – cela signifie également que si vous accédez à un pare-feu FortiGate géré, vous pouvez alors traverser jusqu’à l’appareil FortiManager de gestion… puis redescendre vers d’autres pare-feu et réseaux.
Pour compliquer la tâche des clients et des défenseurs de FortiGate, le portail d’assistance de l’entreprise renvoyait des erreurs de connexion au moment où cet article a été mis en ligne sur Ars, ce qui empêchait les gens d’accéder au site.
La sécurité par l’obscurité
FortiGate a l’habitude de patcher silencieusement les failles de sécurité critiques et de ne les divulguer qu’une fois qu’elles ont été largement exploitées. Les représentants de l’entreprise ont à plusieurs reprises choisi de ne pas répondre aux questions d’Ars sur sa politique de divulgation des failles de sécurité, en particulier celles qui sont exploitées par des pirates d’État.
L’opacité de la réponse de FortiGate à ce jour zéro intervient alors que Carl Windsor, responsable de la sécurité des informations de la société, a publié en mai un billet affirmant ce qu’il a déclaré être un engagement à “être un Modèle en matière de développement de produits éthiques et responsables et de divulgation des vulnérabilités”. Il a ajouté : “Nous avons un engagement de longue date en faveur d’une transparence radicale et responsable, qui comprend le respect proactif des normes les plus élevées en matière de pratiques de divulgation responsables, qui s’alignent sur les meilleures pratiques internationales et sectorielles”.
Au début du mois, les chercheurs de Fortinet ont publié une analyse de 4 000 mots sur les failles des produits de la société rivale Ivanti qui étaient exploitées par des acteurs étatiques.
En l’absence d’avis public de Fortinet, le monde entier ne dispose pas du même type d’informations importantes en matière de sécurité, notamment les indicateurs de compromission, l’étendue de l’exploitation de la vulnérabilité et les types d’activités malveillantes qui se produisent à l’intérieur des réseaux infectés.
Mise à jour de l’article pour ajouter les commentaires de l’article du blog de Beaumont.
Jad MARCHI est un ardent défenseur de la technologie, passionné par son potentiel de transformation. Ayant accumulé une décennie d’expérience dans le secteur technologique, Jean a travaillé sur une variété de projets innovants qui l’ont amené à comprendre le paysage changeant de ce domaine. Il est fasciné par l’évolution rapide de la technologie et son impact sur notre société. Que ce soit l’intelligence artificielle, la robotique, la blockchain ou la cybersécurité, il est toujours à la recherche des dernières tendances. Ses articles cherchent à informer, à inspirer et à provoquer des réflexions sur la façon dont la technologie façonne notre avenir.