Fortinet alerte sur un zero-day actif ciblant ses pares-feux. Une faille critique exploitée qui souligne l’urgence de mettre à jour vos systèmes.
Fortinet a confirmé une faille Zero-day qui affecte ses pares-feux FortiGate et ses passerelles FortiProxy. La vulnérabilité, détectée en décembre 2024, repose sur des requêtes conçues pour contourner les protections d’authentification. Selon Arctic Wolf, cette faille aurait été exploitée dans une campagne large et indiscriminée.
Détails de la faille Zero-day
C’est Arctic Wolf qui a détecté les premières attaques de zero-day dans les systèmes Fortinet. Les versions concernées par cette faille incluent FortiOS 7.0.0 à 7.0.16, FortiProxy 7.2 : de 7.2.0 à 7.2.12 et FortiProxy 7.0 : de 7.0.0 à 7.0.19. En revanche, cette vulnérabilité a épargné les systèmes plus récents.
La faille repose sur un défaut dans le module WebSocket de Node.js. Il s’agit d’un protocole qui fonctionne sur les ports HTTP standard 443. Cette technologie, très répandue, facilite les communications en temps réel. L’exploit permet aux attaquants de générer des requêtes spéciales qui contournent les contrôles de sécurité et accordent des privilèges élevés.
Vous aimerez aussi cet article:
Une exploitation active et coordonnée
Les assaillants ont utilisé des adresses IP falsifiées pour accéder aux dispositifs vulnérables. Parmi ces adresses, on retrouve des résolveurs DNS publics comme 1.1.1.1 ou 8.8.8.8. Parfois, des adresses associées à des serveurs VPS ont été identifiées.
Une fois l’accès obtenu, les cybercriminels créent des comptes administrateurs supplémentaires. Ils modifient ensuite les configurations pour ouvrir des tunnels VPN et étendre leur emprise. Cette approche leur permet de récupérer des identifiants et d’effectuer des mouvements latéraux dans les réseaux compromis.
Vous aimerez aussi cet article:
Fortinet et Arctic Wolf en alerte
Fortinet a publié une série de recommandations pour contenir les attaques. Arctic Wolf, qui a initialement observé la campagne, a confirmé que les indicateurs d’intrusion correspondent à la faille CVE-2024-55591. Selon eux; ce zero-day a compromis des centaines de dispositifs en quelques jours.
Cette vulnérabilité, dotée d’un score CVSS de 9,6 sur 10, est jugée critique. Les équipes de sécurité doivent appliquer les correctifs et surveiller les signes d’intrusion identifiés par Fortinet. En parallèle, FortiGuard Labs recommande la mise à jour immédiate des systèmes ou, à défaut, de désactiver les interfaces administratives HTTP/HTTPS.