ISGroup Conseil en Cybersécurité

CVE-2024-55591 – Contournement de l’authentification dans Fortinet FortiOS et FortiProxy

Une vulnérabilité critique de contournement d’authentification (CVSS 9.6) affectant les produits FortiOS et FortiProxy de Fortinet fait actuellement l’objet d’une exploitation active. La vulnérabilité réside dans le module WebSocket de Node.js et permet à des attaquants distants de contourner les mécanismes d’authentification. Plus de 7,6 millions d’instances de pare-feu Fortinet sont exposées sur Internet, ce qui rend cette menace particulièrement étendue.

ProduitFortinet FortiProxy
Date17/01/2025 13:27:30
Informations
  • Correctif disponible
  • Exploitation active

Résumé technique

Cette vulnérabilité permet aux attaquants de contourner les contrôles d’authentification et d’obtenir des privilèges de super-administrateur en envoyant des requêtes web spécialement conçues. Une exploitation réussie permet aux attaquants de :

  • Créer des comptes super-admin avec des privilèges système complets
  • Modifier les configurations système, y compris les politiques de pare-feu et les groupes d’utilisateurs
  • Établir des tunnels VPN pour accéder aux réseaux internes
  • Créer des comptes utilisateurs locaux avec des noms aléatoires (ex. Gujhmk, Ed8x4k)
  • Ajouter/modifier des politiques de pare-feu et des paramètres réseau

Appareils et versions affectés :

  • FortiOS de 7.0.0 à 7.0.16
  • FortiProxy de 7.0.0 à 7.0.19
  • FortiProxy de 7.2.0 à 7.2.12

L’exploitation implique :

  1. L’envoi d’une requête construite vers le point de terminaison de connexion
  2. L’établissement d’une connexion WebSocket avec des en-têtes spécifiques
  3. Le contournement des contrôles d’authentification via le module WebSocket de Node.js

Recommandations

  1. Mettre à jour vers les versions corrigées :
  • FortiOS 7.0.17 ou ultérieur
  • FortiProxy 7.2.13 ou ultérieur
  1. Améliorations de la sécurité :
  • Activer l’authentification multifacteur (MFA) pour tous les comptes administratifs
  • Implémenter des politiques “local-in” pour restreindre l’accès à l’interface de gestion
  • Limiter l’accès administratif aux plages IP de confiance
  • Surveiller régulièrement toute activité suspecte sur les comptes
  1. Détection :
  • Surveiller la création de comptes administrateur avec des noms aléatoires (ex. Gujhmk, Ed8x4k)
  • Observer les tentatives de connexion provenant d’adresses IP malveillantes connues
  • Vérifier les journaux système pour détecter toute modification non autorisée de la configuration

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *