Vulnérabilité VPN-SSL FortiOS : les étonnantes conclusions de Fortinet

Fortinet a publié ce 12 juin le bulletin d’information relatif aux nouvelles versions de FortiOS distribuées depuis la fin de la semaine dernière, avec donc quelques heures d’avance sur le planning attendu.

Sans surprise, les recommandations du bulletin sont simples : installer la dernière version de FortiOS sur ses équipements ou, à défaut, désactiver le service VPN-SLL. Comme il se doit, Charles Fol et Dany Bach de Lexfo reçoivent les remerciements de Fortinet. La surprise est ailleurs.

Fin mai, les équipes de Microsoft ont détaillé – en profondeur – les pratiques de Volt Typhoon, un attaquant responsable d’une « campagne visant les fournisseurs d’infrastructures critiques », et actif depuis la mi-2021. 

Microsoft est formel : « Volt Typhoon obtient un accès initial aux organisations ciblées par le biais de dispositifs Fortinet FortiGuard exposés sur Internet ». Et là, commencent les contradictions avec les équipes de Fortinet. 

Dans un billet de blog, elles expliquent « ne pas lier » la toute récemment dévoilée CVE-2023-27997 « à la campagne Volt Typhoon », du moins « à ce jour ». Pour Fortinet, c’est la CVE-2022-40684 qui est là utilisée pour l’accès initial, comme le suggèrent « des comptes d’administrateur nommés “fortinet-tech-support” et “fortigate-tech-support” [qui] ont été trouvés sur des appareils de clients liés à cette campagne ».

Le compte administrateur nommé « fortigate-tech-support » était mentionné dans un billet de blog consacré à la vulnérabilité référencée CVE-2022-40684, pour laquelle Fortinet a diffusé des correctifs à l’automne dernier. L’alerte avancée de Fortinet, le 6 octobre, avait publiquement fuité 24 h après sa diffusion. Trois jours plus tard, un démonstrateur d’exploitation était publiquement disponible. Mais déjà le 8 octobre, des tentatives d’exploitation étaient enregistrées : « Fortinet a fourni à ses clients une notification confidentielle précoce pour permettre de remédier à ce problème avant que la vulnérabilité ne devienne publique. Dès qu’elle l’a été, les acteurs de la menace ont commencé à l’exploiter ». 

Pour autant, Fortinet l’assurait : « nous avons eu connaissance de l’utilisation abusive de cette vulnérabilité dans un seul cas » – avant, donc, la distribution des correctifs.

Problème : selon l’équipe de Microsoft, la vulnérabilité exploitée par Volt Typhoon était… inconnue à la date de la publication de leur billet, le 24 mai. La CVE-2022-40684 l’était donc parfaitement, y compris la CVE-2022-42475 initialement corrigée en catimini par Fortinet.