Failles critiques et méthodes d'exploitation sur les terminateurs VPN sur des pare-feux
De nombreux pare-feux intègrent une fonction de terminateur VPN (Virtual Private Network, Réseau privé virtuel), permettant par exemple à un employé de se connecter à distance au réseau de son entreprise sans que l'entreprise ait à déployer un équipement dédié.Les chercheurs en cybersécurité Meh Chang et Orange Tsai de l'entreprise Devcore ont publié le 17 juillet 2019 sur Internet[1][2][3], ainsi que lors des conférences Blackhat USA[4] et Defcon 2019 des vulnérabilités et des exemples d'exploitation concernant ces fonctions de sécurité dans les produits de Fortinet, Pulse Secure et Palo Alto.
Pour chacun de ces produits, les chercheurs ont réussi à exécuter du code arbitraire à distance en exploitant ces vulnérabilités.
Avant la publication des vulnérabilités et des exemples d'exploitation, les constructeurs ont été avertis et les correctifs ont été publiés dans les mois précédents[5][6][7].
De multiples sources rapportent que suite à ces publications, des explorations à grande échelle ont lieu pour identifier des équipements vulnérables à ces failles en vue d'une éventuelle exploitation.
Autres vulnérabilités de pare-feux récentes
En 2019, plusieurs avis ont été publiés par le CERT-FR concernant des vulnérabilités dans des pare-feux. Parmi ces pare-feux figurent par exemple des produits Juniper, Cisco, Fortinet ou Palo Alto (cf. section Documentation).Recommandations
Le CERT-FR recommande l'application des dernières mises à jour sur les pare-feux et les terminateurs VPN dès que possible, en particulier ceux de Fortinet, Palo Alto, Cisco et Pulse Secure. Cette recommandation est à traiter en urgence si l'équipement est exposé sur Internet. La coupure de l'accès Internet ou de l'accès VPN doit être envisagée dans le cadre de l'évaluation du risque relatif à cette vulnérabilité.Par ailleurs et de manière générale, le CERT-FR recommande de s'assurer de ne pas avoir de fonctions d'administration (SSH, Web, Telnet, protocole propriétaire par exemple) directement accessible sur Internet
Documentation
<li>[1] Rapport Technique original de Devcore sur l'exploitation de la vulnérabilité sur Palo Alto GlobalProtect du 17 juillet 2019.