Les chercheurs affirment que près de 336 000 appareils exposés à Internet restent vulnérables à une vulnérabilité critique dans les pare-feu vendus par Fortinet, car les administrateurs n’ont pas encore installé les correctifs que la société a publiés il y a trois semaines.
CVE-2023-27997 est une exécution de code à distance dans les VPN Fortigate, qui sont inclus dans les pare-feu de l’entreprise. La vulnérabilité, qui découle d’un bogue de débordement de tas, a un indice de gravité de 9,8 sur 10. Fortinet a publié des mises à jour corrigeant silencieusement la faille le 8 juin et l’a divulguée quatre jours plus tard dans un avis indiquant qu’elle pourrait avoir été exploitée dans des attaques ciblées. . Le même jour, la Cybersecurity and Infrastructure Security Administration des États-Unis l’a ajouté à son catalogue de vulnérabilités exploitées connues et a donné aux agences fédérales jusqu’à mardi pour le corriger.
Malgré la gravité et la disponibilité d’un correctif, les administrateurs ont mis du temps à le réparer, ont déclaré les chercheurs.
Vendredi, la société de sécurité Bishop Fox, citant des données extraites des requêtes du moteur de recherche Shodan, a déclaré que sur 489 337 appareils concernés exposés sur Internet, 335 923 d’entre eux, soit 69%, n’avaient pas été corrigés. Mgr Fox a déclaré que certaines des machines vulnérables semblaient exécuter le logiciel Fortigate qui n’avait pas été mis à jour depuis 2015.
« Wow, on dirait qu’il y a une poignée d’appareils exécutant FortiOS, vieux de 8 ans, sur Internet », a écrit Caleb Gross, directeur du développement des capacités chez Bishop Fox, dans le post de vendredi. « Je ne toucherais pas ceux avec un poteau de 10 pieds. »
Gross a rapporté que Bishop Fox a développé un exploit pour tester les appareils des clients.
La capture d’écran ci-dessus montre l’exploit de preuve de concept corrompant le tas, une zone protégée de la mémoire de l’ordinateur réservée aux applications en cours d’exécution. La corruption injecte un code malveillant qui se connecte à un serveur contrôlé par l’attaquant, télécharge l’utilitaire BusyBox pour les systèmes d’exploitation de type Unix et ouvre un shell interactif qui permet d’émettre des commandes à distance par la machine vulnérable. L’exploit ne nécessite qu’environ une seconde pour se terminer. La vitesse est une amélioration par rapport à un PoC Lexfo publié le 13 juin.
Ces dernières années, plusieurs produits Fortinet ont fait l’objet d’une exploitation active. En février, des pirates de plusieurs groupes de menaces ont commencé à exploiter une vulnérabilité critique dans FortiNAC, une solution de contrôle d’accès au réseau qui identifie et surveille les appareils connectés à un réseau. Un chercheur a déclaré que le ciblage de la vulnérabilité, suivi comme CVE-2022-39952, a conduit à « l’installation massive de webshells » qui a donné aux pirates un accès à distance aux systèmes compromis. En décembre dernier, un acteur malveillant inconnu a exploité une vulnérabilité critique différente dans le FortiOS SSL-VPN pour infecter le gouvernement et les organisations liées au gouvernement avec des logiciels malveillants avancés sur mesure. Fortinet a discrètement corrigé la vulnérabilité fin novembre, mais ne l’a divulguée qu’après le début des attaques dans la nature. La société n’a pas encore expliqué pourquoi ni précisé sa politique en matière de divulgation des vulnérabilités de ses produits. Et en 2021, un trio de vulnérabilités dans le VPN FortiOS de Fortinet – deux corrigées en 2019 et une un an plus tard – ont été ciblées par des attaquants tentant d’accéder à plusieurs services gouvernementaux, commerciaux et technologiques.
Jusqu’à présent, il y a peu de détails sur les exploits actifs de CVE-2023-27997 qui, selon Fortinet, pourraient être en cours. Volt Typhoon, le nom de suivi d’un groupe de menaces de langue chinoise, a activement exploité CVE-2023-40684, une vulnérabilité Fortigate distincte de gravité élevée similaire. Fortinet a déclaré dans sa divulgation du 12 juin qu’il serait conforme à Volt Typhoon de pivoter vers l’exploitation de CVE-2023-27997, que Fortinet suit sous la désignation interne FG-IR-23-097.
« Pour le moment, nous ne lions pas FG-IR-23-097 à la campagne Volt Typhoon, mais Fortinet s’attend à ce que tous les acteurs de la menace, y compris ceux à l’origine de la campagne Volt Typhoon, continuent d’exploiter les vulnérabilités non corrigées dans les logiciels et appareils largement utilisés », Fortinet a déclaré à l’époque. Pour cette raison, Fortinet demande instamment une atténuation immédiate et continue grâce à une campagne de correctifs agressive.
Image de la liste par Getty Images