Début octobre, une vulnérabilité critique sur plusieurs produits Fortinet a fait l’objet d’une cyberattaque ciblée. Le CERT-FR anticipe une exploitation de masse de cette vulnérabilité, au regard de l’exposition sur Internet des nombreuses interfaces d’administration des produits Fortinet.
“Cette faille de sécurité CVE-2022-40684 permet à un attaquant non authentifié de déclencher l’exécution de code arbitraire à distance et de contourner la politique de sécurité“, explique l’éditeur ITrust. Une fois exploitée, cette vulnérabilité permet le dépôt d’une porte dérobée qui permettra au hacker de se connecter ultérieurement au système d’information.
Bien que Fortinet ait publié un bulletin de sécurité pour l’obtention des correctifs, leur application seule n’est pas suffisante, précise ITrust. En effet, dans le cas où la faille est exploitée avant l’application des correctifs, l’attaquant peut déposer une porte dérobée qui lui permettra de se connecter ultérieurement au système d’information.
Il convient donc de se référer à la publication du CERT-FR portant sur “Les bons réflexes en cas d’intrusion sur un système d’informations”.
La liste des systèmes affectés
FortiOS version 7.2.2 ou supérieure
FortiOS version 7.0.7 ou supérieure
FortiProxy version 7.2.1 ou supérieure
FortiProxy version 7.0.7 ou supérieure
FortiSwitchManager version 7.2.1 ou supérieure
En complément, vérifier ou faire vérifier sa configuration par un professionnel permettra de valider qu’une porte dérobée n’a pas été laissée par un attaquant (du type un compte admin nommé “Fortigate-Tech-Support’” ce qui correspond à une tromperie des attaquants).