Fortinet : passage à la case patch pour les utilisateurs de FortiManager

La rumeur court depuis près d’une semaine : une mise à jour pour FortiManager était poussée discrètement aux clients de Fortinet sans qu’elle fasse l’objet de précisions sur les correctifs embarqués. 

Rapidement, le mot circule : il s’agirait d’un correctif en urgence pour une vulnérabilité critique donc l’exploitation aurait déjà été constatée. 

FortiManager permet de déployer, configurer et administrer les équipements FortiGate. Comme l’explique l’équipementier : « ajouter une unité FortiGate à FortiManager va assurer que l’unité pourra recevoir les mises à jour antivirus et IPS, et permettra son administration à distance via le système FortiManager ou le service FortiCloud ». Près de 60 000 systèmes FortiManager sont exposés sur Internet, dont plus de 1 760 en France, selon les données de Shodan. Mais le dork utilisé n’est peut-être pas exhaustif : selon le Français Onyphe, il faut compter avec plus de 493 000 systèmes exposant le protocole propriétaire utilisé par FortiManager, dans le monde entier. 

Problème : une vulnérabilité critique affecte de nombreuses versions de FortiManager. Référencée CVE-2024-47575, elle peut permettre à « un attaquant distant non authentifié d’exécuter du code ou des commandes arbitraires via des requêtes appropriées ».

Dans le détail, les versions concernées de FortiManager vont de la 6.2.0 à 6.2.12, 6.4.0 à 6.4.14, 7.0.0 à 7.0.12, 7.2.0 à 7.2.7, 7.4.0 à 7.4.4, et 7.6.0. Les éditions Cloud 6.4, 7.0, 7.2, et 7.4.1 à 7.4.4 sont également concernées. 

Dans sa note d’information, Fortinet recommande d’appliquer les correctifs disponibles ou d’appliquer des mesures d’atténuation dont la première consiste à interdire la connexion à FortiManager… aux unités FortiGate inconnues. Les suivantes consistent à n’autoriser que les FortiGate dont les adresses IP auront été mises en liste blanche, ou ceux affichant un certificat numérique personnalisé. 

Et justement, parmi les indicateurs de compromission relevés par Fortinet, on compte l’enrôlement de nouveaux systèmes FortiGate inconnus. Quatre adresses IP sont associées aux activités malveillantes constatées.

Selon l’équipementier, « les actions identifiées de cette attaque dans la nature ont consisté à automatiser, via un script, l’exfiltration de divers fichiers du FortiManager contenant les adresses IP, les informations d’identification et les configurations des dispositifs gérés ».