Ce n’est plus un secret pour personne, le nombre de cyberattaque a considérablement augmenté et notamment les attaques par exécution de code à distance (RCE). L’une des dernières vulnérabilités qui vient tout juste de sortir est une faille critique découverte dans des produits Fortinet. Fortinet est pourtant une référence dans le monde de la protection et est largement utilisé dans le monde entier. La vulnérabilité Fortinet CVE-2024-23113, affecte plusieurs systèmes Fortinet, notamment FortiOS, FortiPAM, FortiProxy et FortiWeb (ouep un bon paquet quand même 😮), et présente de sérieux risques si elle n’est pas corrigée. L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a tiré la sonnette d’alarme hier, car cette vulnérabilité est désormais activement exploitée.
Qu’est-ce que CVE-2024-23113 sur Fortinet ?
La vulnérabilité (CVE-2024-23113) est particulièrement dangereuse car elle permet l’exécution de code à distance (RCE). Un attaquant qui exploite cette vulnérabilité peut donc exécuter du code arbitraire sur un système Fortinet, ce qui peut conduire à une compromission complète du système, au vol de données sensibles ou au déploiement de logiciels malveillants (comme un ransomware par exemple).
La faille provient du daemon « fgfmd », un processus critique qui gère diverses fonctions administratives telles que les demandes d’authentification et la communication entre les pare-feu FortiGate de Fortinet et les appliances FortiManager. Plus précisément, le problème survient en raison de l’utilisation d’une chaîne de format contrôlée de manière externe comme argument. Cette surveillance permet aux acteurs malveillants de créer des entrées malveillantes qui obligent le système à traiter des commandes ou du code non autorisés.
Ce qui rend cette faille encore plus préoccupante, c’est qu’elle nécessite une faible complexité pour être exploitée. Pas besoin de compétences exceptionnelles pour utiliser cette faille et pas besoin d’un accès interne non plus.
Chronologie de la vulnérabilité Fortinet
Fortinet a publié un avis de sécurité sur cette faille en février 2024 et publié directement un correctif. Les directives initiales de l’entreprise recommandaient de restreindre l’accès au daemon « fgfmd » à partir d’interfaces non fiables et de mettre en œuvre des règles de pare-feu pour bloquer le trafic malveillant.
Bien que Fortinet ait fourni un correctif début 2024, ce n’est qu’hier que la vulnérabilité a de nouveau attiré l’attention. Effectivement, c’est à ce moment-là que la CISA l’a ajouté à son catalogue de vulnérabilités exploitées connues (KEV). Cette désignation par la CISA signifie que l’exploitation de l’attaque est active et cible des organisations qui n’ont pas encore appliqué les correctifs nécessaires. La CISA surveille en permanence les menaces et vulnérabilités potentielles qui pourraient avoir un impact sur les infrastructures. Ils viennent d’ordonner aux agences fédérales de sécuriser tous les appareils FortiOS sur leurs réseaux d’ici le 30 octobre 2024, une indication claire de la gravité de cette menace. Cette décision souligne les risques associés à cette CVE-2024-23113.
Bon nombre des plus grandes entreprises, agences gouvernementales et fournisseurs de services du monde utilisent les produits Fortinet pour sécuriser leurs réseaux (oups 😉). La faille peut donc exposer des données sensibles et augmente le risque d’attaques à plus grande échelle. Ceci est particulièrement inquiétant car cette vulnérabilité permet à des attaquants non authentifiés d’exécuter des commandes arbitraires, ce qui peut conduire à une élévation potentielle des privilèges et indirectement au déploiement de logiciels malveillants. Bref, une fois que les attaquants obtiennent un premier accès via cette vulnérabilité RCE, ils peuvent se déplacer latéralement au sein de votre réseau et donc compromettre tout votre système, c’est une belle porte d’entrée !
Comment se protéger de la vulnérabilité Fortinet ?
Bien que le correctif CVE-2024-23113 soit disponible depuis février, les organisations qui n’ont pas encore mis à jour leurs systèmes restent vulnérables. L’application de correctifs est l’étape la plus critique pour protéger les systèmes contre cette faille. Cependant, l’application de correctifs à elle seule n’est pas toujours immédiatement réalisable dans les grandes organisations en raison des dépendances opérationnelles sur les systèmes concernés. Par conséquent, Fortinet a recommandé des stratégies d’atténuation temporaires, notamment :
- Restreindre l’accès au démon fgfmd pour empêcher les connexions non autorisées.
- Implémentation de restrictions basées sur IP, qui autorisent uniquement des adresses IP spécifiques à communiquer avec le daemon. Cela limite la surface d’attaque, même si cela ne neutralise pas complètement la menace.
- Et l’indispensable surveillance régulière de vos journaux systèmes pour détecter tout signe d’activité malveillante.
En plus de ces étapes, il est essentiel dans le cas d’une compromission de disposer d’un plan solide de réponse aux incidents. En cas d’attaque, une réponse rapide est essentielle pour minimiser les dégâts.
La faille Fortinet n’est qu’une parmi une longue série de vulnérabilités RCE récentes découvertes dans des logiciels et du matériel largement utilisés. Les attaques RCE sont devenues de plus en plus populaires, car elles fournissent un accès direct à un système avec un effort relativement faible. Rien qu’en 2024, d’autres grandes entreprises comme Cisco et Palo Alto Networks ont été confrontées à des défis de sécurité similaires. L’avertissement de la CISA concernant la vulnérabilité Fortinet nous rappelle brutalement que même les solutions de cybersécurité les plus fiables peuvent receler des risques importants. Si vous avez des Fortinet, agissez rapidement pour corriger vos systèmes et n’hésitez pas à déployer les stratégies d’atténuation recommandées.
Si l’article vous a plu et si vous aimez mon travail, vous pouvez faire un don en suivant ce lien :
