Failles critiques et méthodes d’exploitation sur les terminateurs VPN sur des pare-feux
De nombreux pare-feux intègrent une fonction de terminateur VPN (Virtual Private Network, Réseau privé virtuel), permettant par exemple à un employé de se connecter à distance au réseau de son entreprise sans que l’entreprise ait à déployer un équipement dédié.
Les chercheurs en cybersécurité Meh Chang et Orange Tsai de l’entreprise Devcore ont publié le 17 juillet 2019 sur Internet[1][2][3], ainsi que lors des conférences Blackhat USA[4] et Defcon 2019 des vulnérabilités et des exemples d’exploitation concernant ces fonctions de sécurité dans les produits de Fortinet, Pulse Secure et Palo Alto.
Pour chacun de ces produits, les chercheurs ont réussi à exécuter du code arbitraire à distance en exploitant ces vulnérabilités.
Avant la publication des vulnérabilités et des exemples d’exploitation, les constructeurs ont été avertis et les correctifs ont été publiés dans les mois précédents[5][6][7].
De multiples sources rapportent que suite à ces publications, des explorations à grande échelle ont lieu pour identifier des équipements vulnérables à ces failles en vue d’une éventuelle exploitation.
Autres vulnérabilités de pare-feux récentes
En 2019, plusieurs avis ont été publiés par le CERT-FR concernant des vulnérabilités dans des pare-feux. Parmi ces pare-feux figurent par exemple des produits Juniper, Cisco, Fortinet ou Palo Alto (cf. section Documentation).
Recommandations
Le CERT-FR recommande l’application des dernières mises à jour sur les pare-feux et les terminateurs VPN dès que possible, en particulier ceux de Fortinet, Palo Alto, Cisco et Pulse Secure. Cette recommandation est à traiter en urgence si l’équipement est exposé sur Internet. La coupure de l’accès Internet ou de l’accès VPN doit être envisagée dans le cadre de l’évaluation du risque relatif à cette vulnérabilité.
Par ailleurs et de manière générale, le CERT-FR recommande de s’assurer de ne pas avoir de fonctions d’administration (SSH, Web, Telnet, protocole propriétaire par exemple) directement accessible sur Internet
Documentation
- [1] Rapport Technique original de Devcore sur l’exploitation de la vulnérabilité sur Palo Alto GlobalProtect du 17 juillet 2019.
https://devco.re/blog/2019/07/17/attacking-ssl-vpn-part-1-PreAuth-RCE-on-Palo-Alto-GlobalProtect-with-Uber-as-case-study/ - [2] Rapport Technique original de Devcore sur l’exploitation de la vulnérabilité sur Fortigate SSL VPN du 09 août 2019.
https://devco.re/blog/2019/08/09/attacking-ssl-vpn-part-2-breaking-the-Fortigate-ssl-vpn/ - [3] Rapport Technique original de Devcore sur l’exploitation de la vulnérabilité sur Pulse Secure du 02 septembre 2019.
https://devco.re/blog/2019/09/02/attacking-ssl-vpn-part-3-the-golden-Pulse-Secure-ssl-vpn-rce-chain-with-Twitter-as-case-study/ - [4] Présentation de Devcore à la Blackhat USA 2019 sur l’éxecution de code arbitraire à distance sur les principaux VPNs SSL du 09 août 2019.
https://i.blackhat.com/USA-19/Wednesday/us-19-Tsai-Infiltrating-Corporate-Intranet-Like-NSA.pdf/ - [5] Bulletin de sécurité Pulse Secure du 24 avril 2019.
https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44101 - [6] Bulletin de sécurité Fortinet du 24 mai 2019.
https://fortiguard.com/psirt/FG-IR-18-384 - [7] Bulletin de sécurité Palo Alto du 18 juillet 2019.
https://securityadvisories.paloaltonetworks.com/Home/Detail/158 - Avis CERT-FR CERTFR-2019-AVI-239 du 27 mai 2019.
https://www.cert.ssi.gouv.fr/avis/CERTFR-2019-AVI-239/ - Avis CERT-FR CERTFR-2019-AVI-350 du 19 juillet 2019.
https://www.cert.ssi.gouv.fr/avis/CERTFR-2019-AVI-350/ - Bulletin de sécurité du CERT-EU du 26 août 2019.
https://media.cert.europa.eu/static/SecurityAdvisories/2019/CERT-EU-SA2019-017.pdf - Bulletin d’alerte CERT-FR CERTFR-2019-ALE-002 du 01 février 2019.
https://www.cert.ssi.gouv.fr/alerte/CERTFR-2018-ALE-002/ - Avis CERT-FR CERTFR-2019-AVI-063 du 30 janvier 2019.
https://www.cert.ssi.gouv.fr/avis/CERTFR-2018-AVI-063/ - Avis CERT-FR CERTFR-2019-AVI-228 du 16 mai 2019.
https://www.cert.ssi.gouv.fr/avis/CERTFR-2019-AVI-228/ - Avis CERT-FR CERTFR-2019-AVI-161 du 11 avril 2019.
https://www.cert.ssi.gouv.fr/avis/CERTFR-2019-AVI-161/ - Avis CERT-FR CERTFR-2019-AVI-335 du 16 juillet 2019.
https://www.cert.ssi.gouv.fr/avis/CERTFR-2019-AVI-335/ - Avis CERT-FR CERTFR-2019-AVI-408 du 22 août 2019.
https://www.cert.ssi.gouv.fr/avis/CERTFR-2019-AVI-408/ - Avis CERT-FR CERTFR-2019-AVI-298 du 28 juin 2019.
https://www.cert.ssi.gouv.fr/avis/CERTFR-2019-AVI-298/
Rappel des avis émis
Dans la période du 19 au 25 août 2019, le CERT-FR a émis les publications suivantes :
- CERTFR-2019-AVI-403 : Multiples vulnérabilités dans Apache Struts
- CERTFR-2019-AVI-404 : Vulnérabilité dans les produits Kaspersky
- CERTFR-2019-AVI-405 : Multiples vulnérabilités dans Google Android
- CERTFR-2019-AVI-406 : Multiples vulnérabilités dans Cisco IOS XR
- CERTFR-2019-AVI-407 : Vulnérabilité dans Citrix StoreFront Server
- CERTFR-2019-AVI-408 : Multiples vulnérabilités dans Palo Alto PAN-OS
- CERTFR-2019-AVI-409 : Multiples vulnérabilités dans Nagios
- CERTFR-2019-AVI-410 : Multiples vulnérabilités dans les produits Cisco
- CERTFR-2019-AVI-411 : Vulnérabilité dans Palo Alto Twistlock