AVERTISSEMENT : VULNÉRABILITÉ CRITIQUE CVE-2018-13379 concernant les VPNs SSL FORTINET sous FORTIOS
CVE-2018-13379 : 9.8 (critical)
Sources
https://nvd.nist.gov/vuln/detail/CVE-2018-13379
Risques
Un acteur malveillant non authentifié peut effectuer une reconnaissance à distance (de type "essai et erreur") pour rechercher et lire des fichiers sensibles sur le serveur cible, y compris des fichiers critiques pour le système comme les fichiers de configuration/mots de passe.
Les terminaux VPN jouent un rôle crucial dans l'infrastructure des entreprises, la compromission d'un seul terminal peut conduire à la prise de contrôle de l'ensemble du domaine ou du réseau par un acteur malveillant.
Des attaques débouchant sur une demande de rançon ont déjà exploité ce genre de failles par le passé.
Description
Un hacker a publié une liste de près de 50.000 dispositifs VPN Fortinet vulnérables, dont les identifiants VPN peuvent être volés à distance sans authentification.
Ces identifiants pourrait permettre à un acteur malveillant de compromettre l'ensemble du réseau.
La vulnérabilité identifiée comme CVE-2018-13379 est une faille de type "path traversal" impactant un grand nombre de dispositifs VPN Fortinet FortiOS SSL non patchés.
Un acteur malveillant non authentifié peut accéder à des fichiers système à distance via des requêtes HTTP spécialement conçues, y compris des fichiers critiques pour le système comme les fichiers de configuration/mots de passe.
Actions recommandées
Le CERT.be recommande aux administrateurs système d'installer les dernières mises à jour publiées par le fournisseur pour les versions concernées par cette vulnérabilité, après les avoir correctement testées.
Comme précaution supplémentaire, il est conseillé de vérifier les anomalies dans vos journaux. S'il y a des indications qu'un acteur malveillant a accédé à des fichiers sensibles, vous devez considérer votre réseau comme étant compromis.