Les utilisateurs des solutions Fortinet FortiGate et FortiProxy sont menacés par une nouvelle faille de sécurité exploitée en tant que zero-day par les cybercriminels. Elle est massivement exploitée ! Voici ce que vous devez savoir.

La faille de sécurité CVE-2024-55591

Cette nouvelle vulnérabilité, désormais associée à la référence CVE-2024-55591, est exploitée par les cybercriminels dans le cadre d’attaques. Elle permet de contourner l’authentification.

Grâce à cette vulnérabilité, les pirates créent de nouveaux utilisateurs ou administrateurs sur les équipements compromis. Les noms de compte sont générés aléatoirement : Gujhmk, G0xgey, Pvnw81, Alg7c4, etc… Ces comptes sont ensuite ajoutés en tant que membre de groupes existants ou à de nouveaux groupes qu’ils ajoutent également. Dans certains cas, il s’agit de groupes disposant d’un accès VPN SSL.

Les attaquants ont même pu aller jusqu’à exploiter cette vulnérabilité pour ajouter ou modifier des politiques de sécurité de pare-feu et d’autres paramètres, dans le but, justement, d’activer l’accès VPN SSL. Ce dernier représente alors un tunnel vers le réseau interne de l’entreprise.

Si les attaquants parviennent à réaliser ces actions, c’est parce que l’exploitation de cette vulnérabilité permet à un attaquant distant non authentifié d’obtenir des privilèges de super-administrateur sur l’équipement. Ces requêtes spécialement conçues doivent être envoyées au module websocket Node.js du système.

Ce que l’on sait sur les attaques en cours

Un rapport mis en ligne il y a quelques jours par Arctic Wolf Labs évoque les attaques basées sur l’exploitation de cette vulnérabilité. L’analyse des chercheurs en sécurité met en évidence de premiers signes d’analyse et d’exploitation depuis la mi-novembre 2024. Arctic Wolf Labs a également fourni une timeline des événements associés à cette campagne, en quatre phases :

• Analyse de la vulnérabilité du 16 novembre 2024 au 23 novembre 2024
• Reconnaissance du 22 novembre 2024 au 27 novembre 2024
• Configuration du VPN SSL du 4 décembre 2024 au 7 décembre 2024
• Mouvement latéral du 16 décembre 2024 au 27 décembre 2024

Des indicateurs de compromission ont été partagés par Fortinet et Arctic Wolf Labs. Vous pouvez notamment identifier des journaux d’activité avec des adresses IP source et destination aléatoires. Voici un exemple :

Ainsi qu’un journal de création de l’administrateur avec un nom d’utilisateur et une adresse IP source apparemment générés de manière aléatoire :

À chaque fois, ce sont des adresses IP génériques qui remontent dans les journaux. Voici la liste fournie par Fortinet :

• Bulletin de sécurité de Fortinet

Quelles sont les versions affectées ? Comment se protéger ?

La faille de sécurité CVE-2024-55591 affecte FortiOS, le système utilisé par les firewalls Fortigate, ainsi que FortiProxy. Voici la liste des versions affectées :

• FortiOS 7.0.0 à 7.0.16
• FortiProxy 7.0.0 à 7.0.19
• FortiProxy 7.2.0 à 7.2.12

Pour vous protéger, vous devez installer l’une de ces versions, selon l’équipement que vous utilisez :

• FortiOS 7.0.17 
• FortiProxy 7.2.13
• FortiProxy 7.0.20

Il est plus que recommandé d’installer ce correctif dès que possible. Terminons par une précision importante : les appareils dont l’interface de gestion est exposée sur Internet sont principalement ciblés par les attaques en cours.

Source