Une faille de sécurité affectant les appliances FortiWeb de Fortinet est actuellement exploitée dans la nature pour créer des comptes admins à distance, sans authentification. Les pirates semblent bien décidés à exploiter massivement cette vulnérabilité. Faisons le point.
Une faille activement exploitée depuis octobre
Cette faille de type path traversal permet à un attaquant distant de créer des comptes administrateurs sur les équipements exposés et vulnérables, simplement en envoyant une requête spécifique. Selon Daniel Card (PwnDefend), la faille se situe au niveau du point de terminaison suivant :
/api/v2.0/cmdb/system/admin%3f/../../../../../cgi-bin/fwbcgi
Les cybercriminels envoient des requêtes HTTP POST conçues de façon à créer des comptes administrateurs locaux sur l’appareil Fortinet FortiWeb ciblé. Plusieurs noms d’utilisateurs ont été observés au sein des attaques : Testpoint, test1234point, trader1 ou trader, avec des mots de passe comme AFodIUU3Sszp5, AFT3$tH4ck, ou encore AFT3$tH4ckmet0d4yaga!n.
La société Defused a été la première à repérer l’exploitation de cette vulnérabilité, dès le 6 octobre dernier, en parlant d’un “exploit Fortinet inconnu (probablement une variante de CVE-2022-40684)”. Depuis, les attaques se sont multipliées, visant désormais des instances FortiWeb à l’échelle mondiale.
Il est vrai qu’il est difficile de trouver une trace de cette vulnérabilité sur le site de Fortinet, et pourtant, celle-ci semble bien corrigée à l’heure actuelle…
Si vous utilisez Fortinet FortiWeb, vous devez impérativement mettre à jour votre instance vers la version 8.0.2 puisqu’elle corrige ce problème de sécurité. De son côté, la société Rapid7 affirme que la version 8.0.1 et toutes les versions antérieures sont vulnérables.
En complément, recherchez dans les journaux tout signe d’accès non autorisé, en particulier les requêtes vers le chemin fwbcgi. De plus, consultez la liste des comptes administrateur à la recherche d’un compte suspect. Ceci est d’autant plus important si votre instance FortiWeb est exposée sur Internet.
Autre information importante, les attaques proviendraient de plusieurs adresses IP, parmi lesquelles :
107.152.41.19
144.31.1.63
Des adresses IP du bloc 185.192.70.0/24
64.95.13.8 (déjà signalée lors des premières attaques en octobre)
Un exploit confirmé et un outil de détection publié
Les chercheurs de watchTowr Labs ont confirmé la validité de l’exploit en publiant une démonstration vidéo sur X (ex-Twitter) : après un échec de connexion volontaire sur un FortiWeb vulnérable, l’exploit est exécuté pour créer un compte, et la connexion réussit avec le nouveau compte administrateur.
watchTowr a également publié un outil nommé FortiWeb Authentication Bypass Artifact Generator pour aider les équipes de sécurité à identifier rapidement les équipements vulnérables. Il tente de créer un compte administrateur temporaire dont le nom est généré aléatoirement à partir d’un UUID.
N’attendez pas pour patcher : depuis plusieurs jours, les pirates parlent déjà de cet exploit sur des forums…
Source : Rapid7
Source
Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.