Risque(s)

  • Exécution de code arbitraire à distance
  • Contournement de la politique de sécurité

Systèmes affectés

  • FortiOS versions 7.2.x antérieures à 7.2.2
  • FortiOS versions 7.0.x antérieures à 7.0.7
  • FortiProxy versions 7.2.x antérieures à 7.2.1
  • FortiProxy versions 7.0.x antérieures à 7.0.7
  • FortiSwitchManager versions 7.x antérieures à 7.2.1

Résumé

Le 07 octobre 2022, des informations ont circulé concernant l’existence d’une vulnérabilité critique dans les produits Fortinet. Le 11 octobre 2022, l’éditeur a publié un avis de sécurité détaillant l’existence d’une vulnérabilité permettant à un attaquant non authentifié de pouvoir réaliser des actions au travers de l’interface d’administration.

L’éditeur indique que cette vulnérabilité a fait l’objet d’une attaque ciblée.

Le 13 octobre 2022, des chercheurs ont publié un rapport détaillé ainsi qu'une preuve de concept. Depuis cette publication, le CERT-FR constate que des variations de ce code d'exploitation sont publiquement disponibles.

Le CERT-FR anticipe des exploitations en masse de la vulnérabilité CVE-2022-40684, d'autant plus que de nombreuses interfaces d’administration de produits Fortinet sont exposées sur Internet.

L'exposition d'une interface de gestion sur Internet est contraire aux bonnes pratiques. Dans le cas où l’administration à distance est impératif, une première mesure temporaire peut consister à restreindre l'accès à des adresses ip de confiance. Il cependant conseillé de suivre les recommandations du guide publié par l'ANSSI pour la sécurisation de l'administration du SI [1].

Contournement provisoire

Dans son avis de sécurité (cf. section Documentation), Fortinet détaille la procédure pour désactiver l'interface d’administration ou restreindre son accès à des adresses ip de confiance.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

L'application seule des correctifs n'est pas suffisante. En effet, si un attaquant a exploité la vulnérabilité avant leur application, il a pu déposer une porte dérobée qui lui permettra de se connecter ultérieurement au système. A titre d'exemple, les codes d’exploitation observés jusqu'ici déposent une clé publique SSH.

D'autres méthodes d'attaques, permettant, entre autres, des fuites de données ou une exécution de code arbitraire, ne sont pas à exclure.

Les tentatives d'exploitation liées à ces codes publics peuvent être détectées en vérifiant, dans les journaux de l'équipement, la présence d'un "User-Agent" égal à "Report Runner" ou "Node.js", ainsi que la présence du motif "127.0.0.1" dans le champ "Forwarded".

Ces marqueurs préliminaires sont fournis à titre indicatif et ne sont pas exhaustifs.

Documentation