Réseaux

Fortinet demande aux administrateurs de corriger immédiatement le bogue dont l’exploitation est publique

Par Philippe Ternision , le 17 octobre 2022 , mis à jour le 17 octobre 2022 - 3 minutes de lecture
AccueilRéseauxFortinet demande aux administrateurs de corriger immédiatement le bogue dont l’exploitation est publique
5/5 - (1 vote)

Fortinet demande instamment à ses clients de corriger immédiatement leurs appliances afin de les protéger contre une vulnérabilité grave de contournement d’authentification pour FortiOS, FortiProxy et FortiSwitchManager qui a été utilisée dans des attaques.

En plus de conseiller aux utilisateurs de désactiver les interfaces utilisateur de gestion à distance sur les appareils vulnérables “de toute urgence” afin de déjouer les attaques s’ils ne peuvent pas corriger rapidement, l’entreprise a publié la semaine dernière des mises à jour de sécurité pour corriger la faille (CVE-2022-40684).

Une semaine plus tard, des chercheurs en sécurité d’Horizon3.ai ont partagé une étude technique des causes profondes et un exploit de type “proof-of-concept” (PoC) pour la vulnérabilité.

Après que le code d’exploitation ait été rendu public vendredi, Fortinet a publié une alerte publique demandant aux utilisateurs de corriger immédiatement la faille de sécurité activement exploitée.

L’entreprise a déclaré que, malgré ses notifications répétées au cours de la semaine précédente, “un nombre considérable de dispositifs ont encore besoin d’une atténuation, et avec la publication par une partie extérieure du code POC, il y a une exploitation active de cette vulnérabilité.”

Fortinet conseille à nouveau à ses clients et partenaires de prendre les mesures urgentes décrites dans l’avis public à la lumière de ce développement.

Dès que l’avis confidentiel initial a été transmis aux clients le 6 octobre, des attaquants ont commencé à rechercher des dispositifs Fortinet non corrigés. Fortinet a affirmé avoir découvert des acteurs de la menace utilisant la vulnérabilité pour créer des comptes administrateurs erronés.

Fortinet CVE-2022-40684 honeypot attacks

CVE-2022-40684 attaques par pot de miel (Fortinet)

Après avoir révélé qu’elles avaient également découvert des attaquants recherchant et tentant d’exploiter CVE-2022-40684 dans la nature, les entreprises de cybersécurité GreyNoise et Bad Packets ont validé les conclusions de Fortinet.

Toutes les entités fédérales civiles de l’exécutif doivent appliquer des correctifs aux dispositifs Fortinet de leurs réseaux d’ici le 1er novembre, après que la CISA a ajouté mardi CVE-2022-40684 à sa liste de failles de sécurité exploitées dans des attaques.

Les administrateurs peuvent également employer les stratégies d’atténuation décrites par Fortinet dans cet avis de sécurité s’ils ne sont pas en mesure d’arrêter immédiatement les appareils sensibles ou de déployer des correctifs pour s’assurer qu’ils ne seront pas piratés.

Afin d’utiliser ces solutions de contournement, vous devez désactiver l’interface d’administration HTTP/HTTPS ou utiliser une politique locale pour restreindre les adresses IP autorisées à accéder à l’interface d’administration.

Vous pouvez rechercher user=” Local Process Access,” user interface=” Node.js,” ou user interface=” Report Runner” dans les journaux du périphérique pour savoir si vos périphériques ont été piratés avant de mettre en œuvre des mesures d’atténuation ou des mises à jour.

.

Vues 103

Philippe Ternision

Philippe Ternision

Administrateur réseau dans un grand groupe, je partage mes connaissances sur Hfrance pour aider mes confrères et mes consoeurs.