Objectif
L’objectif de cette alerte est d’attirer l’attention sur trois vulnérabilités activement exploitées par des acteurs malveillants expérimentés pour compromettre des systèmes.
Cette alerte vise à sensibiliser les administrateurs système à ces vulnérabilités, pour qu’ils puissent agir en conséquence.
Si ce n’est pas encore fait, le CERT.be recommande aux administrateurs système d’appliquer des correctifs à leurs systèmes vulnérables dès que possible et d’analyser les fichiers journaux du système et du réseau de manière à détecter toute activité suspecte éventuelle.
Résumé
Le FBI (Federal Bureau of Investigation) et la CISA (Cybersecurity and Infrastructure Security Agency) ont relevé des opérations de scan effectuées par des APT (Advanced Persistent Threats) en mars.
Les scans ciblaient les ports 4443, 8443 et 10443, probablement à la recherche de dispositifs vulnérables à la faille répertoriée dans le CVE-2018-13379. Ces scans ont également recensé des appareils pour l’exploitation des failles répertoriées comme CVE-2020-12812 et CVE-2019-5591.
Détails techniques
CVE-2018-13379 - Une limitation impropre d’un chemin d’accès vers un répertoire restreint (Path Traversal) dans Fortinet FortiOS 6.0.0 à 6.0.4, 5.6.3 à 5.6.7, et 5.4.6 à 5.4.12 sous le portail web SSL VPN permet à un acteur malveillant non authentifié de télécharger des fichiers système via des requêtes de ressources HTTP conçues pour l’occasion.
CVE-2020-12812 - Une vulnérabilité d’authentification impropre dans le VPN SSL de FortiOS 6.4.0, 6.2.0 à 6.2.3, 6.0.9, et version inférieures pourrait permettre à un acteur malveillant de se connecter avec succès sans devoir passer par l’authentification à deux facteurs (FortiToken) s’il a changé la casse de son nom d’utilisateur.
CVE-2019-5591 - Une vulnérabilité de la configuration par défaut dans FortiOS peut permettre à un acteur malveillant non authentifié sur le même sous-réseau d’intercepter des informations sensibles en se faisant passer pour le serveur LDAP.
Risques
Les acteurs malveillants expérimentés peuvent utiliser l’une de ces failles pour accéder aux réseaux de plusieurs secteurs d’infrastructures critiques afin d’accéder ensuite à des réseaux clés.
Il leur serait alors possible de mener des attaques d’exfiltration ou de cryptage de données. Ils peuvent également utiliser d’autres failles et/ou techniques d’exploitation pour accéder à des infrastructures critiques et poursuivre leurs attaques.
Fournisseurs touchés et solutions provisoires
Le CERT.be recommande aux administrateurs système des appareils Fortinet de mettre à jour FortiOS vers la dernière version disponible dès que possible.
Il est également conseillé d’effectuer une analyse approfondie de votre réseau et des journaux système ou d’autres données disponibles pour détecter toute activité de scan sur les ports 4443, 8443 et 10443 ou toute autre activité suspecte éventuelle.
Les vulnérabilités de FortiOS :
- CVE-2018-13379 - https://www.fortiguard.com/psirt/FG-IR-18-384
- CVE-2020-12812 - https://www.fortiguard.com/psirt/FG-IR-19-283
- CVE-2019-5591 - https://www.fortiguard.com/psirt/FG-IR-19-037
Sources
Avertissement de la CISA - https://www.ic3.gov/Media/News/2021/210402.pdf
CVE-2018-13379 - https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-13379
CVE-2020-12812 - https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-12812
CVE-2019-5591 - https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-5591