Vulnérabilité dans Fortinet FortiOS

Risque(s)

- Exécution de code arbitraire à distance
- Contournement de la politique de sécurité

Systèmes affectés

- FortiOS versions 7.2.x antérieures à 7.2.4
- FortiOS versions 7.0.x antérieures à 7.0.10
- FortiOS versions 6.x antérieures à 6.4.12

Résumé

Le 07 mars 2023, Fortinet a publié un avis de sécurité détaillant l’existence d’une vulnérabilité de type traversée de chemin (path traversal) permettant à un attaquant authentifié avec un compte à privilèges de lire et d'écrire des fichiers arbitrairement au travers de l'interface en ligne de commande.

Le 09 mars 2023, Fortinet a publié un billet sur son blog détaillant l'analyse de la compromission de plateformes de pare-feux FortiGate avec le système FortiOS par l'exploitation de la vulnérabilité CVE-2022-41328 détaillé dans l'avis FG-IR-22-369.

Fortinet indique que cette vulnérabilité est activement exploitée dans le cadre d'attaques ciblées. C'est lors d'une réponse à incident impliquant des pare-feux FortiGate gérés par une console FortiManager que les équipes de Fortinet ont pu identifier les informations ci-dessous :

- Le vecteur de compromission initial semble provenir de la console FortiManager, ceci est déduit par la temporalité et la ressemblance des attaques simultanées sur différents pare-feux gérés par la même console ;
- Le fichier /sbin/init est modifié et le fichier /bin/fgfm est créé, notamment pour assurer la persistance et ajouter des fonctionnalités de contrôle ;
- Dans les cas connus de l'éditeur, les pare-feux impactés ont été brutalement arrêtés et leur redémarrage a été empêché par une protection du système contre la modification du microgiciel (option FIPS).

Remarque : les moyens ayant permis la prise de contrôle de la console FortiManager ne sont pas précisés par l'éditeur (vols d'identifiants, exploitation d'une vulnérabilité précédente, ...).

Pour rappel, le CERT-FR recommande de mettre en place une infrastructure sécurisée pour l'administration des équipements et des services [1].

Solution

Le CERT-FR recommande fortement d’appliquer les correctifs fournis par l’éditeur, se référer à l’avis émis par le CERT-FR [2] pour plus d’informations.

L'application seule des correctifs n'est pas suffisante puisque les attaquants disposent de moyens de persistance leur permettant de se connecter ultérieurement au système.

Il est recommandé d'effectuer une analyse des systèmes FortiGate et FortiManager, notamment à l'aide des indicateurs de compromission fournis par l'éditeur dans son billet de blog et dans les précédents avis de sécurité émis. Ces marqueurs sont donnés à titre indicatif et n'ont pas été vérifiés par le CERT-FR.

Documentation

- Bulletin de sécurité Fortinet FG-IR-22-369 du 07 mars 2023
https://www.fortiguard.com/psirt/FG-IR-22-369  
- Billet de blog Fortinet portant sur l'analyse de la vulnérabilité de l'avis FG-IR-22-369 du 09 mars 2023
https://www.fortinet.com/blog/psirt-blogs/fg-ir-22-369-psirt-analysis  
- Référence CVE CVE-2022-41328
https://www.cve.org/CVERecord?id= CVE-2022-41328  
- Le guide d'hygiène informatique
https://www.ssi.gouv.fr/uploads/2017/01/guide_hygiene_informatique_anssi.pdf  
- [1] Recommandations relatives à l’administration sécurisée des systèmes d’information https://www.ssi.gouv.fr/administration/guide/securiser-ladministration-des-systemes-dinformation/  
- [2] Avis CERT-FR CERTFR-2023-AVI-0199 du 08 mars 2023 https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0199/  
- Les bons réflexes en cas d’intrusion sur un système d’information https://www.cert.ssi.gouv.fr/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/  

Dernière version de ce document

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2023-ALE-001/