Une équipe de chercheurs en cybersécurité a récemment découvert une campagne d’exploitation ciblant les pare-feu Fortinet, permettant à des cybercriminels de s’infiltrer dans les réseaux d’entreprise. Fortinet, une entreprise américaine spécialisée dans les équipements, logiciels et services de cybersécurité, a confirmé le 14 janvier 2024 l’existence d’une vulnérabilité critique activement exploitée. L’Agence nationale de la sécurité des systèmes d’information (Anssi) a également émis une alerte à ce sujet.

Détails de la vulnérabilité

La faille, identifiée sous le nom CVE-2024-55591, présente un score de sévérité CVSS de 9,6, ce qui en fait une menace de haut niveau. Elle affecte les versions 7.0 à 7.0.16 du système d’exploitation embarqué FortiOS, ainsi que les versions 7.0 à 7.0.19 et 7.2 à 7.2.12 de la passerelle web FortiProxy.

Fonctionnement de l’attaque

La vulnérabilité, initialement observée début décembre par les chercheurs d’Arctic Wolf, permet à des cybercriminels d’établir des connexions non autorisées sur les interfaces de gestion des pare-feu. Ces attaquants peuvent créer de nouveaux comptes, accéder à des portails VPN SSL et même obtenir des privilèges de « super-administrateur ». Les chercheurs ont identifié cette campagne après avoir remarqué une utilisation intensive de l’outil jsconsole (utilisé pour surveiller et gérer les applications Java) à partir d’adresses IP inhabituelles.

Arctic Wolf souligne qu’une vulnérabilité 0-day est « hautement probable », étant donné le délai très court entre la découverte de la faille et son exploitation par les cybercriminels, avant même que Fortinet n’ait pu publier un correctif.

Phases de la campagne d’exploitation

La campagne a été divisée en quatre phases :

1. Analyse et reconnaissance des vulnérabilités.
2. Configuration du VPN SSL début décembre.
3. Mouvement latéral à la mi-décembre, permettant aux attaquants de se déplacer dans le réseau.
4. Exploitation continue, malgré les correctifs publiés.

Kevin Beaumont, chercheur en cybersécurité, a indiqué que cette faille aurait été exploitée par un opérateur de ransomware. Arctic Wolf précise que le ciblage était de nature opportuniste plutôt que méthodique.

Recommandations des autorités

La CISA (Cybersecurity and Infrastructure Security Agency) et l’Anssi ont exhorté les utilisateurs et administrateurs à appliquer les mises à jour nécessaires. L’Anssi, via son centre d’alerte et de réponse aux cyberattaques (CERT-FR), rappelle que l’exposition d’une interface d’administration sur Internet est contraire aux bonnes pratiques. Elle recommande notamment de limiter les adresses IP pouvant accéder à l’interface de gestion HTTP/HTTPS.

Contexte des vulnérabilités chez Fortinet

Les équipements Fortinet sont régulièrement ciblés par les cybercriminels. En septembre 2023, une fuite de données client avait été détectée, impliquant moins de 0,3% des clients mais exposant 440 Go de données. Début 2023, une autre vulnérabilité dans FortiOS permettait l’exécution de code à distance.

---

Propositions de solutions pour la mise en place d’un SOC (Security Operations Center)

Face à des menaces de plus en plus sophistiquées, la mise en place d’un SOC (Security Operations Center) devient essentielle pour les organisations. Voici quelques solutions pour renforcer la cybersécurité :

1. Surveillance continue et centralisée :
   • Déployer des outils de surveillance 24/7 pour détecter les activités suspectes en temps réel.
   • Utiliser des solutions de SIEM (Security Information and Event Management) comme Splunk, QRadar ou ArcSight pour centraliser et analyser les logs.
2. Gestion des vulnérabilités :
   • Mettre en place un processus de patch management pour appliquer rapidement les correctifs de sécurité.
   • Utiliser des outils de scan de vulnérabilités (comme Nessus ou Qualys) pour identifier les faiblesses dans les systèmes.
3. Sécurisation des interfaces de gestion :
   • Restreindre l’accès aux interfaces d’administration à des adresses IP spécifiques.
   • Implémenter une authentification forte (MFA) pour les accès privilégiés.
4. Formation et sensibilisation :
   • Former les équipes IT et les utilisateurs aux bonnes pratiques de cybersécurité.
   • Organiser des simulations d’attaques (phishing, ransomware) pour tester la réactivité des équipes.
5. Analyse proactive des menaces :
   • Collaborer avec des équipes de threat intelligence pour anticiper les nouvelles menaces.
   • Intégrer des solutions de détection et réponse (EDR) pour identifier et neutraliser les attaques en cours.
6. Plan de réponse aux incidents :
   • Élaborer un plan de réponse aux incidents (IRP) clair et testé régulièrement.
   • Mettre en place une équipe dédiée à la gestion des crises (CSIRT).
7. Sécurisation des VPN :
   • Renforcer la configuration des VPN SSL en limitant les accès et en surveillant les connexions.
   • Utiliser des solutions de Zero Trust pour vérifier chaque demande d’accès.
8. Audits et conformité :
   • Réaliser des audits réguliers pour s’assurer de la conformité aux normes de sécurité (ISO 27001, NIST, etc.).
   • Documenter les incidents et les mesures correctives pour améliorer la résilience.

En conclusion, la faille CVE-2024-55591 met en lumière l’importance d’une approche proactive en matière de cybersécurité. La mise en place d’un SOC, combinée à des bonnes pratiques rigoureuses, permettra aux organisations de mieux se protéger contre les menaces actuelles et futures.