Fortinet retarde un correctif de faille zero-day permettant la prise de contrôle à distance

0

Fortinet a retardé la mise à jour d’une vulnérabilité zero-day d’injection de commande trouvée dans le pare-feu d’application Web (WAF) de FortiWeb jusqu’à la fin du mois d’août.

Une exploitation réussie peut permettre à des attaquants authentifiés d’exécuter des commandes arbitraires en tant qu’utilisateur root sur le système sous-jacent via la page de configuration du serveur SAML.

Alors que les attaquants doivent être authentifiés auprès de l’interface de gestion de l’appareil FortiWeb ciblé pour abuser de ce bogue, ils peuvent facilement l’associer à d’autres vulnérabilités telles que le contournement d’authentification (CVE-2020-29015) pour prendre le contrôle total des serveurs vulnérables.

« Un attaquant peut exploiter cette vulnérabilité pour prendre le contrôle total de l’appareil affecté, avec le plus grand privilège possible », a expliqué Rapid7.

« Ils peuvent installer un shell persistant, un logiciel de crypto-mining ou utiliser la plate-forme compromise pour accéder au réseau affecté au-delà de la DMZ. »

La faille zero-day découverte par le chercheur de Rapid7, William Vu, est identifié comme CVE-2021-22123, et il impacte Fortinet FortiWeb versions 6.3.11 et antérieures.

Pour se défendre contre les attaques qui tenteraient d’exploiter ce bogue jusqu’à ce qu’un correctif soit disponible, il est conseillé aux administrateurs de bloquer l’accès à l’interface de gestion de l’appareil FortiWeb à partir de réseaux non fiables (c’est-à-dire Internet).

De tels appareils ne doivent être accessibles que via des réseaux internes de confiance ou une connexion VPN sécurisée pour bloquer les tentatives d’exploitation des acteurs malveillants.

Calendrier de divulgation :

  • Juin 2021 : Problème découvert et validé par William Vu de Rapid7
  • Jeudi 10 juin 2021 : divulgation initiale au fournisseur via son formulaire de contact PSIRT
  • Vendredi 11 juin 2021 : Reconnu par le vendeur (ticket 132097)
  • Mercredi 11 août 2021 : suivi avec le fournisseur
  • Mardi 17 août 2021 : Divulgation publique via cette publication
  • Mardi 17 août 2021 : le fournisseur a indiqué que Fortiweb 6.4.1 devrait inclure un correctif et qu’il sera publié fin août

Les serveurs Fortinet sont des cibles attractives

Les pirates informatiques motivés financièrement et parrainés par des États ont fortement ciblé les serveurs Fortinet non corrigés au fil des ans.

Par exemple, ils ont abusé de la vulnérabilité VPN SSL CVE-2018-13379 de Fortinet pour compromettre les systèmes de support des élections américaines exposés à Internet, avec Fortinet avertissant les clients de corriger la faille en août 2019, juillet 2020, novembre 2020 et à nouveau en avril 2021.

En novembre, un hacker a partagé une liste d’exploits de CVE-2018-13379 qui auraient pu être utilisés pour voler les informations d’identification VPN d’environ 50 000 serveurs VPN Fortinet, y compris des entités gouvernementales et des banques.

Plus tôt cette année, Fortinet a corrigé plusieurs vulnérabilités affectant plusieurs de ses produits. Les problèmes corrigés incluent les bogues d’exécution de code à distance, d’injection SQL et de déni de service dans les produits FortiProxy SSL VPN et FortiWeb Web Application Firewall (WAF).

En avril, le FBI et la CISA ont mis en garde contre des groupes de piratage accédant aux appliances Fortinet en exploitant les vulnérabilités CVE-2018-13379, CVE-2020-12812 et CVE-2019-5591 de FortiOS.

Kaspersky a également révélé le même mois que les VPN de Fortinet sont exploités par une nouvelle souche de ransomware à commande humaine connue sous le nom de Cring (alias Crypt3r, Vjiszy1lo, Ghost, Phantom) pour pirater et chiffrer les réseaux des entreprises du secteur industriel.

Un mois plus tard, le FBI a émis une alerte flash avertissant que des pirates informatiques pénétraient un serveur du gouvernement municipal américain après avoir compromis un pare-feu Fortinet FortiGate.

Fortinet s’est ensuite exprimé:

La sécurité de nos clients est toujours notre première priorité. Fortinet reconnaît le rôle important des chercheurs en sécurité indépendants qui travaillent en étroite collaboration avec les fournisseurs pour protéger l’écosystème de la cybersécurité conformément à leurs politiques de divulgation responsable. En plus de communiquer directement avec les chercheurs, notre politique de divulgation est clairement décrite sur la page de Politique PSIRT de Fortinet, qui inclut de demander aux auteurs d’incidents de maintenir une stricte confidentialité jusqu’à ce que des résolutions complètes soient disponibles pour les clients.

En tant que tel, nous nous attendions à ce que Rapid7 conserve toutes les conclusions avant la fin de notre fenêtre de divulgation responsable de 90 jours. Nous regrettons que dans ce cas, la recherche individuelle ait été entièrement divulguée sans notification adéquate avant la fenêtre de 90 jours. Nous nous efforçons de fournir une notification immédiate d’une solution de contournement aux clients et d’un correctif publié d’ici la fin de la semaine.

Le directeur de la recherche de Rapid7, Tod Beardsley, a déclaré que les résultats ont été publiés car Fortinet n’a pas répondu aux suivis après la divulgation initiale:

La politique de divulgation de Rapid7 est détaillée sur https://www.rapid7.com/security/disclosure/#zeroday, et nous avons fait un suivi avec Fortinet avant notre divulgation. Malheureusement, nous n’avons pas eu de réponse de leur part après notre première divulgation en juin, nous avons donc fini par publier les conclusions environ 68 jours après la divulgation des premiers détails. Je suis convaincu que Fortinet publiera bientôt une mise à jour pour ses clients.

Fortinet a publié un avis de sécurité et identifie désormais la faille zero-day de FortiWeb sous le nom CVE-2021-22123. Les clients ont conseillé de « désactiver l’accès à l’interface de gestion à partir de réseaux non approuvés et d’utiliser la fonction ‘Hôtes de confiance(Trusted Hosts)’ pour restreindre l’accès aux adresses IP de confiance pour les utilisateurs de niveau administrateur ».

Laisser un commentaire