De nouvelles découvertes suggèrent que les pare-feu Fortigate sont menacés par des attaques par exécution de code à distance (RCE). Un nombre impressionnant de 490 000 interfaces VPN SSL liées à ces pare-feux sont accessibles en ligne, et environ 69 % d’entre elles attendent encore des mises à jour.

La société de sécurité Bishop Fox a créé un exploit propriétaire pour CVE-2023-27997, un débordement de tas dans FortiOS – lesystème d’exploitation qui alimente les pare-feux FortiGate. Cette vulnérabilité particulière permet l’exécution de code à distance.

CVE-2023-27997 provoque une fuite de mémoire tampon basée sur le tas dans le module SSL VPN de FortiGate. Des démonstrations ont montré que des attaquants peuvent exploiter cette faiblesse pour exécuter du code à distance avant l’authentification.

Afin de remédier à ce risque, Fortinet a publié des mises à jour et proposé une solution alternative. Grâce à ce détournement, les utilisateurs peuvent modifier le tas, établir une connexion avec un site sous leur contrôle, obtenir le binaire BusyBox et lancer un shell virtuel. 

Les étapes pour réaliser cet exploit ressemblent beaucoup à la procédure décrite dans un article de blog de Lexfo. Il est possible pour une personne d’exécuter ces étapes en une seconde environ.

La recherche CLI Shodan suivante montre environ 490 000 ports VPN SSL non sécurisés connectés au Fortigate Firewall.

Lire aussi : « Google s’attaque à 46 vulnérabilités avec la mise à jour de sécurité mensuelle d’Android ».

Au cours des deux derniers mois, Shodan a identifié 335 923 appareils qui doivent encore corriger l’en-tête de réponse HTTP Last-Modified.

Dans la requête ci-dessous, nous avons supposé que la moitié des appareils installés en mai avaient été corrigés. Cette hypothèse tient compte de la présence de versions qui se chevauchent au cours de cette période. En outre, toutes les installations de juin sont supposées avoir été corrigées.

Sur la base de ces résultats, seuls 153 414 appareils ont reçu des correctifs, ce qui laisse un pourcentage inquiétant de 69 % (soit 335 923 sur 489 337) d’appareils non corrigés.

L’examen approfondi de l’équipe d’enquêteurs a révélé de nombreuses installations de la version 7 (publiée début 2021) et un grand nombre de la version 6, qui approche progressivement de la fin de son cycle de vie.