Tuto Apprendre en ligne n’a jamais été aussi simple – Tutoriels pour tous les niveaux.
Fortinet a révélé l’existence d’une nouvelle faille de sécurité critique présente dans l’API de FortiManager. La mauvaise nouvelle, c’est qu’elle est déjà exploitée par les pirates en tant que faille zero-day ! Faisons le point sur cette menace.
Le 13 octobre dernier, Fortinet a commencé à envoyer des notifications à ses clients pour les avertir de la présence d’une nouvelle faille de sécurité dans FortiManager. À ce moment-là, l’entreprise américaine a également communiqué les étapes à appliquer pour atténuer ce problème de sécurité, en attendant la publication de ce correctif.
Rapidement, certains administrateurs ont commencé à discuter de cette vulnérabilité sur le Web, notamment sur Reddit, en évoquant des tentatives d’attaques plusieurs semaines avant la réception de l’e-mail de Fortinet. Désormais, cette faille de sécurité surnommée FortiJump par le chercheur Kevin Beaumont, est associée à la référence CVE-2024-47575 et elle a hérité d’un score CVSS de 9.8 sur 10. Il s’agit donc d’une faille de sécurité critique.
Le nouveau bulletin de sécurité de Fortinet évoque l’exploitation de la vulnérabilité dans le cadre de cyberattaques. Il apporte aussi des précisions : « Une vulnérabilité (CWE-306) dans le daemon fgfmd du FortiManager peut permettre à un attaquant distant non authentifié d’exécuter du code ou des commandes arbitraires via des requêtes spécialement conçues.« , peut-on lire.
Une vulnérabilité exploitée pour voler des données
D’après les informations divulguées par Fortinet, les pirates exploitent cette faille de sécurité pour voler des données à partir de FortiManager : « Les actions identifiées de cette attaque ont consisté à automatiser, via un script, l’exfiltration de divers fichiers du FortiManager contenant les adresses IP, les informations d’identification et les configurations des dispositifs gérés. », peut-on lire.
L’entreprise américaine explique aussi, que pour le moment, les pirates n’exploitent pas cette vulnérabilité pour installer un malware ou une porte derobée. Il n’est pas non plus question de modifications de la configuration de FortiManager. « À ce stade, nous n’avons pas reçu de rapports faisant état d’installations de logiciels malveillants ou de portes dérobées de bas niveau sur les systèmes FortiManager compromis.« , peut-on lire.
Le bulletin de sécurité mentionne plusieurs IOCs, dont les adresses IP malveillantes associées aux attaques :
- 45(.)32.41.202
- 104(.)238.141.143
- 158(.)247.199.37
- 45(.)32.63.2
Comment se protéger ?
Fortinet a publié des correctifs de sécurité pour FortiManager et FortiManager Cloud, les deux produits affectés par la CVE-2024-47575. Si vous ne pouvez pas patcher, référez-vous au bulletin de sécurité pour prendre connaissance des mesures d’atténuation disponibles.
Le tableau ci-dessous indique les versions vulnérables et les versions avec le patch de sécurité. Il s’agit d’informations issues du bulletin de sécurité de Fortinet.
| Version principale | Versions affectées | Solution |
|---|---|---|
| FortiManager 7.6 | 7.6.0 | Mise à niveau vers 7.6.1 ou supérieur |
| FortiManager 7.4 | 7.4.0 à 7.4.4 | Mise à niveau vers 7.4.5 ou supérieur |
| FortiManager 7.2 | 7.2.0 à 7.2.7 | Mise à niveau vers 7.2.8 ou supérieur |
| FortiManager 7.0 | 7.0.0 à 7.0.12 | Mise à niveau vers 7.0.13 ou supérieur |
| FortiManager 6.4 | 6.4.0 à 6.4.14 | Mise à niveau vers 6.4.15 ou supérieur |
| FortiManager 6.2 | 6.2.0 à 6.2.12 | Mise à niveau vers 6.2.13 ou supérieur |
| FortiManager Cloud 7.6 | Non affecté | Non concerné |
| FortiManager Cloud 7.4 | 7.4.1 à 7.4.4 | Mise à niveau vers 7.4.5 ou supérieur |
| FortiManager Cloud 7.2 | 7.2.1 à 7.2.7 | Mise à niveau vers 7.2.8 ou supérieur |
| FortiManager Cloud 7.0 | 7.0.1 à 7.0.12 | Mise à niveau vers 7.0.13 ou supérieur |
| FortiManager Cloud 6.4 | Toutes les versions | Migrer vers une version corrigée |
Fortinet évoque aussi FortiAnalyzer (1000E, 1000F, 2000E, 3000E, 3000F, 3000G, 3500E, 3500F, 3500G, 3700F, 3700G, 3900E), qui pourrait être vulnérable à partir du moment où il y a au moins une interface avec le service FGFM activé.
Patchez dès que vous le pouvez. Cette vulnérabilité pourrait être encore exploitée pendant plusieurs semaines puisqu’il y aurait environ 60 000 FortiManager avec le port 531/TCP exposé sur Internet, d’après le moteur de recherche Shodan. Parmi eux, 1 802 sont recensés en France.
