Risques
- Contournement de la politique de sécurité
- Exécution de code arbitraire à distance
Systèmes affectés
- FortiOS versions 7.0.x antérieures à 7.0.7
- FortiOS versions 7.2.x antérieures à 7.2.2
- FortiProxy versions 7.0.x antérieures à 7.0.7
- FortiProxy versions 7.2.x antérieures à 7.2.1
- FortiSwitchManager versions 7.x antérieures à 7.2.1
Résumé
Le 07 octobre 2022, des informations ont circulé concernant l’existence d’une vulnérabilité critique dans les produits Fortinet. Le 11 octobre 2022, l’éditeur a publié un avis de sécurité détaillant l’existence d’une vulnérabilité permettant à un attaquant non authentifié de pouvoir réaliser des actions au travers de l’interface d’administration.
L’éditeur indique que cette vulnérabilité a fait l’objet d’une attaque ciblée.
Le 13 octobre 2022, des chercheurs ont publié un rapport détaillé ainsi qu'une preuve de concept. Depuis cette publication, le CERT-FR constate que des variations de ce code d'exploitation sont publiquement disponibles.
Le CERT-FR anticipe des exploitations en masse de la vulnérabilité CVE-2022-40684, d'autant plus que de nombreuses interfaces d’administration de produits Fortinet sont exposées sur Internet.
L'exposition d'une interface de gestion sur Internet est contraire aux bonnes pratiques. Dans le cas où l’administration à distance est impératif, une première mesure temporaire peut consister à restreindre l'accès à des adresses ip de confiance. Il cependant conseillé de suivre les recommandations du guide publié par l'ANSSI pour la sécurisation de l'administration du SI [1].
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
L'application seule des correctifs n'est pas suffisante. En effet, si un attaquant a exploité la vulnérabilité avant leur application, il a pu déposer une porte dérobée qui lui permettra de se connecter ultérieurement au système. A titre d'exemple, les codes d’exploitation observés jusqu'ici déposent une clé publique SSH.
D'autres méthodes d'attaques, permettant, entre autres, des fuites de données ou une exécution de code arbitraire, ne sont pas à exclure.
Les tentatives d'exploitation liées à ces codes publics peuvent être détectées en vérifiant, dans les journaux de l'équipement, la présence d'un "User-Agent" égal à "Report Runner" ou "Node.js", ainsi que la présence du motif "127.0.0.1" dans le champ "Forwarded".
Ces marqueurs préliminaires sont fournis à titre indicatif et ne sont pas exhaustifs.
Contournement provisoire
Dans son avis de sécurité (cf. section Documentation), Fortinet détaille la procédure pour désactiver l'interface d’administration ou restreindre son accès à des adresses ip de confiance.
Documentation
- Bulletin de sécurité Fortinet FG-IR-22-377 du 10 octobre 2022 https://www.fortiguard.com/psirt/FG-IR-22-377
- [1] Recommandations relatives à l’administration sécurisée des systèmes d’information https://www.ssi.gouv.fr/administration/guide/securiser-ladministration-des-systemes-dinformation/
- Avis CERT-FR CERTFR-2022-AVI-894 du 11 octobre 2022 https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-894/
- Bulletin d'actualité CERT-FR CERTFR-2022-ACT-044 du 11 octobre 2022 https://www.cert.ssi.gouv.fr/actualite/CERTFR-2022-ACT-044/
- Le guide d'hygiène informatique https://www.ssi.gouv.fr/uploads/2017/01/guide_hygiene_informatique_anssi.pdf
- Les bons réflexes en cas d’intrusion sur un système d’information https://www.cert.ssi.gouv.fr/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/
- Référence CVE CVE-2022-40684 https://www.cve.org/CVERecord?id=CVE-2022-40684