Pour gérer vos consentements :
Categories: Sécurité

VPN : cette faille que Fortinet traîne comme un boulet

On s’y attendait, le couperet est tombé. Des identifiants de connexion associés à près de 100 000 passerelles VPN SSL Fortinet viennent d’être publiés. La conséquence d’une faille que le fournisseur américain a pourtant corrigée il y a plus de deux ans.

La faille en question (CVE-2018-13379) réside dans le portail web de FortiOS. Elle permet, par traversement de répertoire, d’exfiltrer des données sur HTTP, sans authentification. Les chercheurs à l’origine de sa découverte* avaient déniché, en parallèle, d’autres vulnérabilités. Dont un XSS et un dépassement de tas, là aussi pré-authentification. Ils en avaient fait une démo à la Black Hat 2019.

Fortinet ne fut pas le seul offreur pointé du doigt à cette occasion. Les chercheurs avaient effectivement visé plus large, en s’intéressant aux principaux VPN SSL. Avec un postulat : ces derniers sont plus simples à mettre en place que des solutions IPsec ou PPTP, mais aussi plus fragiles.

Palo Alto Networks y est passé avec ses passerelles GlobalProtect, exposées à une injection distante de code. Pulse Secure a également fini épinglé au tableau de chasse.

Les rappels à l’ordre de Fortinet

Chez Fortinet, on avait aussi eu droit à une backdoor. En l’occurrence, une clé en dur, utilisable pour modifier les mots de passe. Problème : une mauvaise gestion des autorisations la rendait exploitable par quiconque. D’après Fortinet, elle n’aurait jamais dû se retrouver dans FortiOS : son implémentation était intervenue sur demande d’un client.

Depuis la publication du correctif pour la faille CVE-2018-13379, Fortinet a régulièrement appelé les utilisateurs concernés à l’installer. Notamment en les avertissant de l’intérêt que certains groupes cybercriminels portaient à la vulnérabilité. En tête de liste, APT29, alias « Cozy Bear ».

La dernière relance datait de juin. Avec, en guise de « motivateur », des informations du FBI et de la CISA selon lesquelles il restait des passerelles non patchées. La fuite d’identifiants était d’autant plus prévisible qu’on avait trouvé trace, fin 2020, d’une liste d’environ 50 000 adresses IP d’équipements vulnérables.

Une consigne à retenir : « Si à tout moment, vous avec utilisé une version de FortiOS touchée, réinitialisez tous vos mots de passe. » Et, si ce n’est déjà fait, installez une version sécurisée (5.4.13, 5.6.14, 6.0.11, 6.2.8 et ultérieures). Puis activez, dans la mesure du possible, l’authentification multifacteur.

* On attribue à ces mêmes chercheurs la découverte des failles Exchange regroupées sous les bannières ProxyLogon, ProxyOracle et ProxyShell.

Photo d’illustration © Denis – Adobe Stock

Recent Posts

HTTPA : vers une attestation d’intégrité sur TLS ?

Greffer à HTTPS un mécanisme d'attestation de l'intégrité des environnements d'exécution : c'est l'idée de…

2 heures ago

Microsoft : qui affiche les rémunérations les plus élevées ?

Satya Nadella, Christopher Young, Amy Hood... Le top management de Microsoft bénéficie à plein de…

3 heures ago

Des Surface Pro sujettes à une faille TPM

Microsoft alerte sur une faille qui permet de faire passer pour sain un appareil qui…

8 heures ago

Capella : la nouvelle ombrelle DBaaS de Couchbase

Changement de marque pour l'offre Couchbase Cloud, qui devient Capella et gagne une option supplémentaire…

9 heures ago

Les 12 tendances Tech à suivre en 2022, selon Gartner

L'intelligence artificielle générative et la "data fabric" font partie des grandes tendances technologiques mises en…

1 jour ago

Cybersécurité : est-il efficace de multiplier les outils ?

Plus de la moitié des centres opérationnels de sécurité d'entreprises croulent sous les alertes émanant…

1 jour ago