Dans les priorités de mises à jour de sécurité, les annonces de Fortinet arriveront probablement sur le podium. Le spécialiste de la sécurité vient de livrer des correctifs sur la CVE-2022-40684 qui a été découverte la semaine dernière et exploitée par des cybercriminels. Cette faille critique consiste en un contournement d’authentification qui touche FortiOS, FortiProxy et FortiSwitchManager. Ce vecteur offre à un attaquant non authentifié la possibilité d’effectuer des opérations sur l’interface d’administration via une requête HTTP ou HTPPS spécifiquement conçue.
Fortinet a d’abord informé « certains clients » de cette vulnérabilité critique par mail la semaine dernière. Le message a été partagé sur les réseaux sociaux et les forums de Fortinet dans les jours suivants. Les versions des logiciels Fortinet exposées à la vulnérabilité sont FortiOS 7.0.0 à 7.06, 7.2.0 et 7.2.1 ; FortiProxy 7.0.0 à 7.0.6 et 7.2.0 ; et FortiSwitchManager 7.0.0 et 7.2.0. FortiOS a publié des versions corrigées pour FortiOS 7.0.7 et 7.2.2 et plus, FortiProxy 7.0.7 et 7.2.1 et plus et FortiSwitchManager 7.2.1 ou plus.
Des solutions de remédiation, mais les exploits se multiplient
En parallèle des correctifs, Fortinet recommande aux utilisateurs de mettre à jour leur système contre l’élément user="Local_Process_Access" dans les logs de l’équipement. Pour les personnes ne pouvant pas appliquer immédiatement le correctif, il existe des options de remédiation. Ainsi pour FortiOS et FortiProxy, il est possible de désactiver l’accès à l’administration via HTTP/HTTPS ou limiter des adresses IP qui donnent accès à l’interface d’administration. Pour FortiSwitchManager, la seule option est la désactivation de l’accès à l’administration via HTTP/HTTPS.
Malgré les correctifs et les solutions de remédiation, le risque d’exploitation de la faille progresse. Sur Twitter, Horizon3 Attack Team, un groupe de chercheur en cybersécurité a indiqué travailler sur un prototype d’exploit et devrait le publier cette semaine. De son côté, la société de Threat Intel Cyberhint estime que plus de 150 000 équipements Fortinet sont exposés.
Commentaire