Fortinet met en garde contre une faille zero-day ciblant les pare-feu avec des interfaces exposées

L’entreprise de cybersécurité Fortinet a tiré la sonnette d’alarme concernant une campagne active de vulnérabilités zero-day ciblant les dispositifs de pare-feu FortiGate dont les interfaces de gestion sont exposées. Ces attaques, attribuées à des acteurs malveillants inconnus, ont perturbé les organisations du monde entier et souligné l’importance cruciale de sécuriser les infrastructures exposées.

Détails de la campagne : le déroulement des attaques

L'activité malveillante, qui a débuté à la mi-novembre 2024, exploite un vecteur d'accès initial encore indéterminé pour compromettre les interfaces de gestion du pare-feu. Les chercheurs en cybersécurité d'Arctic Wolf pensent que les attaquants ont exploité une vulnérabilité zero-day, compte tenu de la propagation rapide et des versions de firmware affectées. Les appareils exécutant des versions de firmware comprises entre 7.0.14 et 7.0.16 ont été spécifiquement ciblés.

Les attaquants ont suivi une stratégie calculée en quatre phases :

  1. Reconnaissance et numérisation – Identification des appareils vulnérables à l’aide d’outils automatisés et d’adresses IP inhabituelles.
  2. Manipulation de la configuration – Modification des paramètres de sortie pour faciliter la collecte de renseignements.
  3. Escalade des privilèges – Création de comptes de super administrateur et modification de comptes d’utilisateurs existants.
  4. Exploitation et collecte d’informations d’identification – Établissement de tunnels VPN SSL et extraction d’informations d’identification à l’aide de la technique DCSync pour le mouvement latéral.

L’utilisation de l’interface jsconsole par les attaquants et les tunnels VPN des fournisseurs d’hébergement de serveurs privés virtuels (VPS) étaient des indicateurs cohérents de compromission.

Fortinet confirme une vulnérabilité critique

Le 14 janvier 2025, Fortinet a dévoilé les détails de CVE-2024-55591, une vulnérabilité critique de contournement d'authentification affectant FortiOS et FortiProxy. Avec un score CVSS de 9,6, cette faille permet aux attaquants d'obtenir des privilèges de super-administrateur en exploitant le module WebSocket de Node.js.

Versions concernées

  • FortiOS : 7.0.0 à 7.0.16 (corrigé dans la version 7.0.17 et supérieure)
  • FortiProxy : 7.0.0 à 7.0.19 et 7.2.0 à 7.2.12 (corrigés respectivement dans les versions 7.0.20 et 7.2.13)

Fortinet a conseillé à ses clients d'appliquer immédiatement les mises à jour et de surveiller toute activité suspecte. Les entreprises sont invitées à limiter l'exposition à l'interface de gestion et à restreindre l'accès aux seuls utilisateurs de confiance.

Action de la CISA : un effort pour l'atténuation

L'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a ajouté la vulnérabilité CVE-2024-55591 à son catalogue de vulnérabilités connues exploitées (KEV). Les agences fédérales doivent remédier à cette vulnérabilité d'ici le 21 janvier 2025.

Recommandations d'atténuation

Les organisations utilisant les produits Fortinet doivent prendre les mesures suivantes pour atténuer les risques :

  1. Mettre à jour le micrologiciel – Appliquez les derniers correctifs pour FortiOS et FortiProxy comme spécifié dans l'avis de Fortinet.
  2. Restreindre l’accès à l’interface de gestion – Bloquez l’accès public aux interfaces de gestion et utilisez des VPN pour l’administration à distance.
  3. Journaux de surveillance – Recherchez des connexions inhabituelles ou des modifications de configuration indiquant une compromission.
  4. Activer MFA – Appliquez l’authentification multifacteur pour tous les comptes administratifs.

Le ciblage opportuniste souligne la nécessité de la vigilance

L'ampleur de la campagne et l'absence de profils de victimes spécifiques suggèrent un ciblage opportuniste plutôt qu'une sélection délibérée. Les activités de connexion/déconnexion automatisées et la victimologie diversifiée renforcent la nécessité de mesures de sécurité robustes dans les organisations de toutes tailles et de tous secteurs.

Les attaques zero-day devenant de plus en plus sophistiquées, il reste essentiel de garantir une mise à jour rapide des correctifs, de limiter l'exposition et de maintenir la vigilance du réseau pour se défendre contre les menaces en constante évolution.

Par Zane
January 16, 2025
Computer Security
Français
January 16, 2025
Computer Security

Articles Populaires

Qu'est-ce que le fichier OperaGXSetup.exe et est-il malveillant ?

Il y a 11 months

Eporner.com et pourquoi ses pop-ups excessifs sont risqués

Il y a 12 days

Prenez note : quelqu'un vous a ajouté comme arnaque par...

Il y a 10 months

HackTool:Win32/Crack : une menace malveillante qui peut...

Il y a 7 months

Une menace potentiellement sérieuse : Trojan:Win32/Suschil!rfn

Il y a 19 days

Qu'est-ce que la menace du cheval de Troie Packunwan et...

Il y a 11 months
Français
Chargement...

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.