Serveurs VPN : les autorités françaises appellent à l’application rapide des correctifs

Le Cert-FR emboîte le pas de son homologue allemand et du Cert-EU. Il vient de publier une alerte concernant des vulnérabilités présentes dans les serveurs de réseau privé virtuel signés Fortinet, Palo Alto Networks et Pulse Secure. Celles-ci ont été divulguées dans le courant de l’été. Les équipes du Cert gouvernemental français relèvent que « pour chacun de ces produits, les chercheurs ont réussi à exécuter du code arbitraire à distance exploitant ces vulnérabilités ». Et ils ne sont pas les seuls.

Depuis une semaine, plusieurs experts alertent sur des opérations de reconnaissance active en ligne, à la recherche de systèmes vulnérables. L’expert Kevin Beaumont relevait ainsi le 22 août que la vulnérabilité affectant les services VPN SSL Fortinet était exploitée ouvertement depuis la veille au soir. Et qu’accessoirement, « il y a seulement un demi-million » de tels services exposés en ligne – même s’il est difficile d’établir combien sont vulnérables. Selon Bad Packets, il fallait compter, en fin de semaine dernière, sur plus de 14 500 systèmes Pulse Secure vulnérables, dont plusieurs centaines en France.

Pour l’heure, les vulnérabilités concernant les équipements Cisco et Palo Alto Networks ne semblent pas faire l’objet d’une exploitation, ni même d’opérations de reconnaissance. Une chance parce que, comme le souligne Kevin Beaumont, dans le cas de cet équipementier, VPN et pare-feu ont de bonnes chances de ne faire qu’un. Et là, en cas d’exploitation réussie, « l’attaquant [a accès à] votre réseau via Internet ».

Les constructeurs concernés avaient été informés avant la divulgation des vulnérabilités par les chercheurs à l’origine de leur découverte. Fortinet propose des correctifs depuis le mois de mai ; Pulse Secure depuis la fin avril ; et Palo Alto Networks depuis la fin juillet.