Sécurité : Une faille de sécurité dans le Web Application Firewall FortiWeb a été dévoilée publiquement par les chercheurs de la société Rapid7. Fortinet promet un patch correctif avant la fin de la semaine, mais conteste les méthodes de Rapid7.
La divulgation de vulnérabilités reste toujours un sujet délicat. Dans un post de blog daté du 17 août, la société Rapid7 a dévoilé les détails d’une faille affectant le produit FortiWeb, de Fortinet, un Web Application Firewall (WAF).
Mise à jour le 19/08 : Cette vulnérabilité affecte toutes les versions du logiciel, et permet à un attaquant authentifié d’exécuter du code arbitraire à distance sur l’appareil compromis. Fortinet a publié un avis de sécurité concernant la faille dans FortiWeb et la vulnérabilité est maintenant identifiée par le CVE 2021-22123. En attendant un patch correctif, la société recommande de « désactiver l’accès à l’interface de gestion à partir de réseaux non sécurisés et utiliser la fonctionTrusted Hosts pour restreindre l’accès aux adresses IP approuvées pour les administrateurs. »
Une vulnérabilité rapidement divulguée
Rapid7 indique dans son post de blog avoir découvert la vulnérabilité au mois de juin 2021, et l’avoir signalé à Fortinet le 10 juin. La société indique n’avoir reçu aucune réponse de la part de Fortinet et a donc décidé, en accord avec sa politique de divulgation, de publier les détails de la vulnérabilité.
Mais Fortinet n’est de son côté pas tout à fait d’accord avec l’initiative de Rapid7. Auprès de Bleeping Computer, la société explique : « nous nous attendions à ce que Rapid7 conserve les détails de la vulnérabilité avant la fin de notre fenêtre de divulgation responsable de 90 jours. Nous regrettons que dans ce cas, les conclusions du chercheur aient été entièrement divulguées sans notification adéquate avant la fenêtre de 90 jours ».
En d’autres termes, le processus de divulgation coordonnée n’a pas fonctionné comme prévu, et Fortinet se retrouve pris de court. La société promet de proposer à ses clients un patch correctif et des solutions de protections avant la fin de la semaine. En attendant, les chercheurs de Rapid7 recommandent de déconnecter les instances vulnérables de FortiWeb d’internet, afin d’éviter les éventuelles attaques exploitant cette nouvelle vulnérabilité.
Des produits sensibles
La faille découverte par Rapid7 nécessite un attaquant authentifié sur la machine, mais d’autres vulnérabilités déjà connues sur le WAF pourraient être exploitées pour contourner l’authentification.
Les produits de Fortinet sont fréquemment visés par des groupes d’attaquants qui tentent d’exploiter les failles connues. La société est connue pour ses produits de VPN et ses firewalls. Par nature, ces produits sont exposés sur internet et les vulnérabilités dans ces systèmes peuvent devenir une porte d’entrée pour des attaquants extérieurs. Une fois ces appareils compromis, les attaquants peuvent s’en servir pour progresser sur le réseau de la victime, afin de prendre le contrôle d’autres machines et voler des identifiants sensibles, jusqu’à atteindre leurs objectifs.
Aux Etats-Unis, le FBI et la CISA ont ainsi alerté en début d’année sur des campagnes d’attaques exploitant les vulnérabilités dans les produits Fortinet à des fins malveillantes.
Source : net.fr/actualites/