Pour gérer vos consentements :
Categories: Sécurité

VPN : cette faille que Fortinet traîne comme un boulet

On s’y attendait, le couperet est tombé. Des identifiants de connexion associés à près de 100 000 passerelles VPN SSL Fortinet viennent d’être publiés. La conséquence d’une faille que le fournisseur américain a pourtant corrigée il y a plus de deux ans.

La faille en question (CVE-2018-13379) réside dans le portail web de FortiOS. Elle permet, par traversement de répertoire, d’exfiltrer des données sur HTTP, sans authentification. Les chercheurs à l’origine de sa découverte* avaient déniché, en parallèle, d’autres vulnérabilités. Dont un XSS et un dépassement de tas, là aussi pré-authentification. Ils en avaient fait une démo à la Black Hat 2019.

Fortinet ne fut pas le seul offreur pointé du doigt à cette occasion. Les chercheurs avaient effectivement visé plus large, en s’intéressant aux principaux VPN SSL. Avec un postulat : ces derniers sont plus simples à mettre en place que des solutions IPsec ou PPTP, mais aussi plus fragiles.

Palo Alto Networks y est passé avec ses passerelles GlobalProtect, exposées à une injection distante de code. Pulse Secure a également fini épinglé au tableau de chasse.

Les rappels à l’ordre de Fortinet

Chez Fortinet, on avait aussi eu droit à une backdoor. En l’occurrence, une clé en dur, utilisable pour modifier les mots de passe. Problème : une mauvaise gestion des autorisations la rendait exploitable par quiconque. D’après Fortinet, elle n’aurait jamais dû se retrouver dans FortiOS : son implémentation était intervenue sur demande d’un client.

Depuis la publication du correctif pour la faille CVE-2018-13379, Fortinet a régulièrement appelé les utilisateurs concernés à l’installer. Notamment en les avertissant de l’intérêt que certains groupes cybercriminels portaient à la vulnérabilité. En tête de liste, APT29, alias « Cozy Bear ».

La dernière relance datait de juin. Avec, en guise de « motivateur », des informations du FBI et de la CISA selon lesquelles il restait des passerelles non patchées. La fuite d’identifiants était d’autant plus prévisible qu’on avait trouvé trace, fin 2020, d’une liste d’environ 50 000 adresses IP d’équipements vulnérables.

Une consigne à retenir : « Si à tout moment, vous avec utilisé une version de FortiOS touchée, réinitialisez tous vos mots de passe. » Et, si ce n’est déjà fait, installez une version sécurisée (5.4.13, 5.6.14, 6.0.11, 6.2.8 et ultérieures). Puis activez, dans la mesure du possible, l’authentification multifacteur.

* On attribue à ces mêmes chercheurs la découverte des failles Exchange regroupées sous les bannières ProxyLogon, ProxyOracle et ProxyShell.

Photo d’illustration © Denis – Adobe Stock

Recent Posts

Ransomwares : que paient les PME en France ?

6 PME françaises sur 10 victimes d'une attaque de ransomware disent avoir payé jusqu'à 40…

21 heures ago

5G : le Canada rejette Huawei

Le gouvernement de Justine Trudeau a décidé, comme son voisin américain, de bannir le géant…

22 heures ago

Dell Technologies : les 5 dirigeants les mieux rémunérés

Les cinq principaux dirigeants de Dell Technologies ont obtenu une rémunération totale combinée de 93…

23 heures ago

WhatsApp s’ouvre aux entreprises, avec une API basée sur le cloud

Mark Zuckerberg et le groupe Meta ont trouvé un moyen de générer des revenus B2B…

24 heures ago

Windows 11 : le portail de téléchargement usurpé par des hackers

Des pirates ont détourné le portail officiel de téléchargement du système d’exploitation Windows 11 pour…

1 jour ago

Sauvegarde et restauration : Veeam dévoile la v12

Veeam dévoile la mise à niveau de son offre Backup & Replication (v12) et dévoile…

2 jours ago