Le FBI et CISA mettent en garde contre l’exploitation active des vulnérabilités de Fortinet FortiOS

Les agences américaines ont averti que les APT exploitent les vulnérabilités de Fortinet pour mettre en péril les systèmes du gouvernement et des entités commerciales.

La semaine dernière, le FBI et le US Cybersecurity and Infrastructure Security (CISA) ont publié Alerte commune (.PDF) avertit que les cyber-attaquants recherchent activement des systèmes qui n’ont pas appliqué de correctifs pour résoudre trois vulnérabilités critiques.

Fortinet FortiusEst un système d’exploitation qui prend en charge Fortinet Security Fabric, une solution conçue pour améliorer la sécurité de l’entreprise, couvrant les points de terminaison, les déploiements cloud et les réseaux centralisés.

Les agences affirment que les CVE-2018-13379, CVE-2020-12812 et CVE-2019-5591 sont exploités. Ces deux vulnérabilités sont connues et le fournisseur a publié des correctifs, mais à moins que les administrateurs informatiques n’implémentent les correctifs, les versions de Fortinet FortiOS restent ouvertes aux compromis.

CVE-2018-13379Un score de gravité CVSS de 9,8 a été publié, c’est Traversée à double voie Affecte la passerelle VPN SSL FortiOS et pourrait permettre à des attaquants non autorisés de télécharger des fichiers système via des requêtes HTTP malveillantes. Les versions 5.4 – 5.4.6 à 5.4.12, 5.6 – 5.6.3 à 5.6.7 et 6.0 – 6.0.0 à 6.0.4 de FortiOS sont affectées.

CVE-2020-12812: c’est Authentification incorrecte Le problème, qui a également été trouvé dans FortiOS SSL VPN, a obtenu un score CVSS de 9,8 car il permet aux utilisateurs de se connecter sans avoir besoin d’eux pour l’authentification au second facteur s’ils modifient leur statut de nom d’utilisateur. FortiOS 6.4.0 et 6.2.0 à 6.2.3 et 6.0.9 et inférieurs contiennent ce bogue.

CVE-2019-5591: Avec un score CVSS de 7,5, cette vulnérabilité est considérée Configuration par défaut Le problème dans FortiOS 6.2.0 et les versions antérieures pourrait permettre à des attaquants non autorisés – sur le même sous-réseau – d’intercepter des données sensibles en se faisant passer pour un serveur LDAP.

Selon le cabinet de conseil, les APT effectuent des enquêtes avec un accent particulier sur les systèmes gouvernementaux ouverts et vulnérables, la technologie et les services commerciaux.

« Les acteurs d’APT peuvent utiliser tout ou partie de ces extrêmes habituels pour accéder aux réseaux dans plusieurs secteurs d’infrastructure critiques afin d’accéder aux réseaux clés comme une prédétermination pour poursuivre le vol de données ou les attaques de cryptage de données », disent les agences. « Les représentants d’APT peuvent utiliser d’autres méthodes CVE ou des techniques d’exploitation courantes – telles que le spear phishing – pour accéder aux réseaux d’infrastructure essentiels au pré-positionnement des attaques de suivi. »

La CVE-2018-13379 a été résolue en mai 2019, suivie de la CVE-2019-5591 en juillet de la même année. Le correctif CVE-2020-12812 est sorti en juillet 2020.

Fortinet a déclaré: « La sécurité de nos clients est notre priorité numéro un. » La situation présente. « […] Si les clients ne le font pas, nous les encourageons à mettre en œuvre immédiatement les mises à niveau et les atténuations.  »

Couverture antérieure et connexe

Avez-vous des conseils? Communiquez en toute sécurité via WhatsApp | Pointez au +447713 025499, ou plus haut dans Keybase: charlie0