Fortinet a corrigé une vulnérabilité de haute gravité dans plusieurs services qui permettait aux acteurs de la menace d’accéder à distance et qui était exploitée à l’état sauvage.
Dans un avis de sécurité publié à la fin de la semaine dernière, la société a décrit la faille comme un contournement d’authentification sur l’interface d’administration, permettant à des personnes non authentifiées de se connecter aux pare-feu FortiGate, aux proxys Web FortiProxy (s’ouvre dans un nouvel onglet)et les instances de gestion FortiSwitch Manager sur site.
La faille est suivie en tant que CVE-2022-40684.
Affaires urgentes
« Un contournement d’authentification à l’aide d’un chemin alternatif ou d’une vulnérabilité de canal [CWE-288] dans FortiOS, FortiProxy et FortiSwitchManager peuvent permettre à un attaquant non authentifié d’effectuer des opérations sur l’interface d’administration via des requêtes HTTP ou HTTPS spécialement conçues », indique l’annonce de Fortinet.
La société a également déclaré que le correctif avait été publié ce jeudi et a ajouté qu’elle avait informé certains de ses clients par e-mail, les exhortant à désactiver les interfaces utilisateur de gestion à distance « de toute urgence ».
Quelques jours après la publication du correctif, la société a fourni plus de détails, affirmant avoir trouvé des preuves d’au moins une campagne réelle tirant parti de la faille :
« Fortinet est au courant d’une instance où cette vulnérabilité a été exploitée et recommande de valider immédiatement vos systèmes par rapport à l’indicateur de compromis suivant dans les journaux de l’appareil : user= »Local_Process_Access », a déclaré la société.
Voici les produits Fortinet qui doivent être corrigés immédiatement :
- FortiOS : 7.2.1, 7.2.0, 7.0.6, 7.0.5, 7.0.4, 7.0.3, 7.0.2, 7.0.1, 7.0.0
- FortiProxy : 7.2.0, 7.0.6, 7.0.5, 7.0.4, 7.0.3, 7.0.2, 7.0.1, 7.0.0
- FortiSwitchManager : 7.2.0, 7.0.0
Selon BipOrdinateurau moins 140 000 pare-feux FortiGate (s’ouvre dans un nouvel onglet) sont accessibles via Internet et sont « probablement » exposés à des attaques, si leurs interfaces de gestion d’administration sont également exposées, a-t-il déclaré. Ceux qui ne sont pas en mesure de corriger leurs points de terminaison immédiatement devraient bloquer les attaquants en désactivant les interfaces d’administration HTTP/HTTPS ou limiter les adresses IP qui ont accès via Local in Policy, a-t-il été expliqué.
« Si ces appareils ne peuvent pas être mis à jour en temps opportun, l’administration HTTPS accessible sur Internet doit être immédiatement désactivée jusqu’à ce que la mise à niveau puisse être effectuée », a conclu Fortinet.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)