VPN : cette faille que Fortinet traîne comme un boulet

On s’y attendait, le couperet est tombé. Des identifiants de connexion associés à près de 100 000 passerelles VPN SSL Fortinet viennent d’être publiés. La conséquence d’une faille que le fournisseur américain a pourtant corrigée il y a plus de deux ans.

La faille en question (CVE-2018-13379) réside dans le portail web de FortiOS. Elle permet, par traversement de répertoire, d’exfiltrer des données sur HTTP, sans authentification. Les chercheurs à l’origine de sa découverte* avaient déniché, en parallèle, d’autres vulnérabilités. Dont un XSS et un dépassement de tas, là aussi pré-authentification. Ils en avaient fait une démo à la Black Hat 2019.

Fortinet ne fut pas le seul offreur pointé du doigt à cette occasion. Les chercheurs avaient effectivement visé plus large, en s’intéressant aux principaux VPN SSL. Avec un postulat : ces derniers sont plus simples à mettre en place que des solutions IPsec ou PPTP, mais aussi plus fragiles.

Palo Alto Networks y est passé avec ses passerelles GlobalProtect, exposées à une injection distante de code. Pulse Secure a également fini épinglé au tableau de chasse.

Les rappels à l’ordre de Fortinet

Chez Fortinet, on avait aussi eu droit à une backdoor. En l’occurrence, une clé en dur, utilisable pour modifier les mots de passe. Problème : une mauvaise gestion des autorisations la rendait exploitable par quiconque. D’après Fortinet, elle n’aurait jamais dû se retrouver dans FortiOS : son implémentation était intervenue sur demande d’un client.

Depuis la publication du correctif pour la faille CVE-2018-13379, Fortinet a régulièrement appelé les utilisateurs concernés à l’installer. Notamment en les avertissant de l’intérêt que certains groupes cybercriminels portaient à la vulnérabilité. En tête de liste, APT29, alias « Cozy Bear ».

La dernière relance datait de juin. Avec, en guise de « motivateur », des informations du FBI et de la CISA selon lesquelles il restait des passerelles non patchées. La fuite d’identifiants était d’autant plus prévisible qu’on avait trouvé trace, fin 2020, d’une liste d’environ 50 000 adresses IP d’équipements vulnérables.

Une consigne à retenir : « Si à tout moment, vous avec utilisé une version de FortiOS touchée, réinitialisez tous vos mots de passe. » Et, si ce n’est déjà fait, installez une version sécurisée (5.4.13, 5.6.14, 6.0.11, 6.2.8 et ultérieures). Puis activez, dans la mesure du possible, l’authentification multifacteur.

* On attribue à ces mêmes chercheurs la découverte des failles Exchange regroupées sous les bannières ProxyLogon, ProxyOracle et ProxyShell.

Photo d’illustration © Denis – Adobe Stock