Le correctif pour la faille de sécurité FortiJump présente dans l’API de FortiManager peut être contourné, ce qui donne lieu à une nouvelle faille zero-day non patchée à ce jour…! Voici les dernières informations à ce sujet.
Rappel sur la CVE-2024-47575 alias FortiJump
Il y a près d’un mois, Fortinet a révélé l’existence d’une nouvelle faille de sécurité critique présente dans l’API de FortiManager. Une faiblesse surnommée FortiJump par les chercheurs en sécurité qui est exploitée par les pirates dans le cadre d’attaques depuis juin 2024.
Le 23 octobre dernier, Fortinet a également publié des correctifs de sécurité pour cette vulnérabilité, associée à la référence CVE-2024-47575 et à un score CVSS de 9.8 sur 10. Cela s’est traduit par la publication de nouvelles versions mineures pour FortiManager, de la 6.2 à 7.6, ainsi que pour certaines versions de FortiManager Cloud.
Cette vulnérabilité critique permet de voler des données sur l’appareil ciblé. Un rapport publié le mois dernier par les chercheurs en sécurité de chez Mandiant donne des précisions sur l’exploitation de cette vulnérabilité par le groupe de cybercriminels traqué avec le nom UNC5820, ainsi que les données volées.
« Ces données contiennent des informations détaillées sur la configuration des appareils gérés ainsi que les utilisateurs et leurs mots de passe FortiOS256 hachés. Ces données pourraient être utilisées par UNC5820 pour compromettre davantage le FortiManager, se déplacer latéralement vers les dispositifs Fortinet gérés, et finalement cibler l’environnement de l’entreprise. », peut-on lire dans le rapport. Pour en savoir plus sur le mode opératoire, consultez notre précédent article.
Une vulnérabilité mal corrigée par Fortinet…
Le 15 novembre 2024, les chercheurs en sécurité de chez WatchTowr ont publié un rapport pour évoquer les problèmes de sécurité persistants sur FortiManager, y compris après l’installation des correctifs de Fortinet. Il s’avère que la vulnérabilité FortiJump n’a pas été entièrement patchée par les équipes de Fortinet.
« En particulier, nous avons trouvé une nouvelle vulnérabilité, que nous avons appelée « FortiJump Higher ». Nous avons également trouvé deux vulnérabilités d’écrasement de fichier qui pourraient être exploitées pour faire planter le système. La faible complexité de ces vulnérabilités remet en question la qualité globale de la base de code du FortiManager. », peut-on lire dans ce rapport.
Les pirates informatiques exploitent déjà massivement la vulnérabilité FortiJump et cela n’est pas près de s’arrêter compte tenu du fait que le correctif n’est pas suffisant. Les chercheurs en sécurité pensent que les pirates savent déjà contourner le correctif de Fortinet.
De son côté, le CERT-FR a également mis à jour son bulletin d’alerte initial pour évoquer les risques liés à cette vulnérabilité. « Le CERT-FR a connaissance d’une vulnérabilité de type jour-zéro permettant de contourner partiellement le correctif FG-IR-24-423. », peut-on lire. Ce qui est cohérent vis-à-vis du rapport publié par WatchTowr.
Pour le moment, vous l’aurez compris, il n’y a pas de correctif de sécurité pour cette faille zero-day. « En l’absence de correctif, la seule mesure de contournement connue à ce jour est de déconnecter ou d’éteindre les équipements FortiManager. », précise le CERT-FR.
Merci à Hussein AISSAOUI pour l’information.
Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP « Cloud and Datacenter Management ». Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.