Dans un bulletin d’alerte tout juste publié, l’Agence nationale de la sécurité des systèmes d’information (Anssi) alerte de l’exploitation d’une vulnérabilité affectant certains produits Fortinet.
Référencée CVE-2024-55591, cette vulnérabilité affecte FortiOS et FortiProxy. Dans son bulletin d’alerte, l’Anssi indique que son exploitation réussie peut permettre à « un attaquant distant non authentifié de contourner le mécanisme d’authentification de l’interface d’administration d’un équipement FortiOS ou FortiProxy et d’obtenir des privilèges de super-administrateur via l’envoi de requêtes forgées au module websocket Node.js ».
Si l’agence recommande « fortement » d’appliquer le correctif « dans les plus brefs délais », elle ne manque pas de rappeler que « l’exposition d’une interface d’administration sur Internet est contraire aux bonnes pratiques ».
L’Anssi emboîte ainsi le pas de Fortinet qui vient lui aussi de publier un bulletin d’alerte relatif à cette vulnérabilité et à son exploitation. Dans celui-ci, l’équipementier précise que les versions 7.0.0 à 7.0.16 de FortiOS et 7.2.0 à 7.2.12, ainsi que 7.0.0 à 7.0.19 de FortiProxy, sont concernées.
Fortinet indique avoir observé la création, par l’acteur malveillant impliqué dans l’exploitation de la vulnérabilité, de comptes administrateurs et/ou d’utilisateurs locaux aux dénominations aléatoires, voire la création d’un nouveau groupe d’utilisateurs à défaut de l’ajout de nouveaux comptes au groupe sslvpn. À cela peut s’ajouter la création et/ou la modification de règles de pare-feu, notamment. Le tout avant d’exploiter ces nouveaux accès pour s’infiltrer dans le système d’information.
Quelques jours plus tôt, Arctic Wolf avait publié un rapport sur une campagne visant justement les interfaces d’administration considérées ici, assorti d’indicateurs de compromission cohérents avec ceux fournis par Fortinet.
Dans son billet de blog, Arctic Wolf indiquait avoir observé les premiers signes de cette campagne début décembre dernier. Toutefois, celle-ci aurait commencé plus tôt, mi-novembre, avec une phase de balayage à la recherche de systèmes vulnérables exposés. Des activités de déplacement latéral auraient commencé à survenir autour du 16 décembre.
Plus de détails sur l’article original.