Porte dérobée Fortinet : près de 1 000 appareils affectés dans le Benelux et en France

Fortinet

Une porte dérobée chez Fortinet fait ressurgir une ancienne vulnérabilité, même si un appareil a été corrigé à cet égard. Dans le Benelux et en France, près de 1 000 appareils sont affectés.

Fortinet a averti la semaine dernière qu’une porte dérobée dans les appareils FortiGate est activement exploitée. Le spécialiste de la sécurité souligne qu’aucune nouvelle vulnérabilité ne s’est glissée dans les pare-feu, mais que les attaquants ont trouvé un moyen d’exploiter à nouveau une vulnérabilité de 2022. Même ceux qui ont corrigé la vulnérabilité à l’époque sont à risque.

La vulnérabilité permettait aux attaquants d’imbriquer des liens symboliques vers le système de fichiers principal du pare-feu dans le répertoire des fichiers de langue. Sur les appareils où SSL-VPN est activé, les fichiers de langue sont accessibles publiquement et offrent ainsi un accès libre au cœur de l’appareil. Il apparaît maintenant que le correctif n’a pas supprimé les liens symboliques, ce qui signifie que la vulnérabilité peut être exploitée à nouveau même après l’application du correctif.

Fortinet a envoyé un courriel aux clients dont l’appareil FortiGate est affecté. L’entreprise recommande d’installer une mise à jour du firmware avec une signature AV/IPS mise à jour qui détecte et neutralise les liens symboliques. Les administrateurs sont également invités à reconfigurer leurs appareils Fortinet.

17 000 appareils affectés

Les dégâts sont déjà constatés. Shadowserver estime le nombre d’appareils compromis à plus de 17 000 depuis le début des attaques le 11 avril. La majorité se trouve en Asie, mais on observe également des victimes plus près de chez nous. Sur les 3 000 appareils Fortinet affectés en Europe, 583 se trouvent en France.

Dans le Benelux, il y a 349 appareils vulnérables selon Shadowserver. 177 organisations aux Pays-Bas doivent s’inquiéter et 157 organisations en Belgique. Les dégâts sont encore limités au Luxembourg avec 15 appareils. Pour éviter de figurer sur cette liste, il est conseillé de suivre les recommandations de Fortinet.

fortinet shadowserver
Près de 1 000 appareils dans le Benelux et en France sont affectés. Source : Shadowserver.

Fantômes du passé

Ces derniers mois, Fortinet fait plus souvent la une des journaux que l’entreprise ne le souhaiterait en raison de vulnérabilités dans FortiGate ou d’autres produits. Il s’agit généralement de zéro-jours récemment découverts, mais les fantômes du passé continuent également de hanter Fortinet. Une base de données contenant des informations sur 15 000 pare-feu Fortinet est apparue en ligne en janvier, obtenue lors d’une fuite antérieure dans FortiGate.