Fortinet : augmentation des activités d’exploitation de la vulnérabilité CVE-2024-21762

Les activités d’exploitation semblent s’intensifier contre une vulnérabilité critique de Fortinet qui a été divulguée et corrigée le mois dernier.

Dans un avis de sécurité du 8 février, Fortinet a détaillé une vulnérabilité inédite dans FortiOS, référencée comme CVE-2024-21762 ou ce que Fortinet suit en interne comme FG-IR-24-015. L’avis avertissait les utilisateurs que la vulnérabilité d’écriture hors limites était « potentiellement exploitée », et CISA a ajouté la CVE-2024-21762 à son catalogue de vulnérabilités exploitées connues le 9 février. Fortinet n’a pas confirmé les rapports d’exploitation active.

Plus d’un mois plus tard, la vulnérabilité – qui affecte FortiOS, le logiciel de base des VPN SSL de Fortinet et de la passerelle web sécurisée FortiProxy – attire de plus en plus l’attention des acteurs malveillants. Lundi, la Shadowserver Foundation, une organisation à but non lucratif spécialisée dans la cybersécurité, a confirmé qu’elle avait observé une augmentation des activités d’exploitation, suite à la publication d’informations plus détaillées sur la vulnérabilité, y compris un démonstrateur (PoC).

Une exploitation réussie pourrait permettre à un attaquant distant non authentifié d’exécuter des commandes arbitraires sur un appareil vulnérable. Les VPN SSL de divers fournisseurs, y compris Fortinet, se sont avérés être une cible populaire récurrente pour les acteurs malveillants.

Shadowserver a déclaré que ses analyses Internet ont révélé que plus de 133 000 instances vulnérables subsistaient dimanche et a invité les utilisateurs à passer à la version corrigée.

« Avec l’analyse détaillée de la vulnérabilité/exploit maintenant publiée, nous avons commencé à observer des tentatives d’exploitation de Fortinet CVE-2024-21762 exécutant des callbacks à partir du 17 mars. Ces tentatives proviennent actuellement d’une IP qui frappe les dispositifs FortiGate », a écrit Shadowserver Foundation sur X, anciennement Twitter.

L’éditeur de solutions de cybersécurité Assetnote a publié un billet de blog expliquant en détail comment son équipe de sécurité a réalisé un exploit pour la CVE-2024-21762 en utilisant un VPN SSL FortiGate. Assetnote a déclaré avoir choisi d’enquêter sur cette faille parce que « FortiGate est largement déployé et qu’une vulnérabilité d’exécution de code à distance avant l’authentification aurait un impact énorme ».

Assetnote, qui propose une plateforme de gestion de la surface d’attaque, a ajouté que son équipe de recherche a immédiatement commencé à analyser CVE-2024-21762 après la divulgation publique, afin de s’assurer que les clients du fournisseur soient informés s’ils sont concernés.

« L’exploit décrit dans ce billet est adapté à la version exacte de FortiGate SSL VPN utilisée pour les tests. Il est peu probable que l’exploit fonctionne sur d’autres versions. L’objectif de nos recherches est principalement d’alimenter notre moteur d’exposition. Nous publions également des recherches pour ajouter de la couleur et aider les défenseurs », écrit Assetnote dans son billet de blog.

Alors que Shadowserver a observé une augmentation de l’activité après la publication du PoC, les clients de Fortinet ont eu plus d’un mois pour appliquer les correctifs pour CVE-2024-27162.

Assetnote a utilisé des informations provenant de précédents exploits FortiGate pour créer le PoC pour la CVE-2024-27162. Par exemple, les exploits précédents ont créé des tailles d’allocation de paramètres post et des appels à la fonction SSL_do_handshake.

Le billet de blog souligne également la fréquence à laquelle FortiGate présente des vulnérabilités de corruption de mémoire. « Il semble que beaucoup d’efforts aient été consacrés à empêcher l’accès au système de fichiers ; la mise en place du débogueur a représenté une part importante du temps consacré à cette vulnérabilité. Ces efforts ne seraient-ils pas mieux utilisés pour auditer et renforcer les applications elles-mêmes ? », interroge Assetnote dans son billet de blog.