10 000 pare-feux Fortinet vulnérables : une faille de sécurité vieille de cinq ans toujours exploitée

Plus de 10 000 pare-feux Fortinet à travers le monde traînent encore des casseroles. Une faille vieille de cinq ans, oui, cinq ans, continue d’être exploitée. On parle ici de CVE-2020-12812, une vulnérabilité de contournement de l’authentification à deux facteurs (2FA) qui reste ouverte malgré les multiples alarmes et correctifs. Fortinet avait pourtant sorti des patches en juillet 2020, mais visiblement, tout le monde n’a pas suivi le mouvement.

Pourquoi la faille persiste-t-elle ?

La question qui brûle les lèvres : pourquoi ces systèmes restent-ils vulnérables ? Pour être exposés, les pare-feux Fortinet doivent avoir des utilisateurs locaux nécessitant une 2FA, reliés à un annuaire LDAP. Et là, ça coince. Ces utilisateurs doivent aussi appartenir à un groupe LDAP, configuré sur le FortiGate. Les cybercriminels s’en donnent à cœur joie, exploitant cette configuration pour infiltrer des réseaux internes sans déclencher d’alerte.

Le hic, c’est que cette faille résulte d’une mauvaise gestion de la sensibilité à la casse des noms d’utilisateur entre FortiGate et les services d’annuaire externes comme LDAP. FortiGate voit les noms comme sensibles à la casse, tandis que LDAP s’en moque. Un vrai casse-tête. Du coup, on a des organisations qui, soit n’ont pas mis à jour leurs systèmes, soit continuent avec des configurations qui laissent la porte grande ouverte aux attaques.

Les conséquences d’une telle négligence

Les conséquences ? Elles sont loin d’être anodines. En omettant de corriger cette faille, les entreprises laissent le champ libre aux pirates pour accéder sans autorisation à leurs réseaux. Imagine un admin ou un utilisateur VPN qui se connecte sans que la deuxième étape de vérification soit demandée. Effrayant, non ? Cela ouvre la voie à des cyberattaques qui peuvent compromettre la confidentialité, l’intégrité et la disponibilité des systèmes touchés.

De plus, cette vulnérabilité n’est pas qu’une simple anecdote technique. Elle a été intégrée dans le catalogue des vulnérabilités exploitées connues par la CISA en 2021, après qu’elle ait été utilisée dans des attaques de ransomware. Autant dire que c’est du sérieux.

L’appel de Fortinet à la vigilance

Face à cette menace persistante, Fortinet a tiré la sonnette d’alarme. La firme exhorte ses clients à vérifier leurs systèmes et à appliquer les correctifs nécessaires. Les versions FortiOS 6.0.10, 6.2.4 et 6.4.1 avaient été mises en place pour contrecarrer ce comportement. Fortinet recommande aussi de désactiver la sensibilité à la casse des noms d’utilisateur sur les comptes locaux pour éviter les contournements d’authentification.

Pourtant, malgré cet appel au bon sens, le nombre de systèmes non corrigés reste élevé. Est-ce une question de négligence ? De manque de ressources ? Ou bien d’un sentiment d’invulnérabilité mal placé ? Les raisons peuvent varier, mais le résultat est le même : un risque accru pour la sécurité des données.

Ce que cela dit de la cybersécurité aujourd’hui

En fin de compte, ce qu’on retient de cette histoire, c’est un certain décalage entre la disponibilité des solutions et leur implémentation réelle. On a beau avoir des correctifs à disposition, encore faut-il les appliquer. Cette situation met en lumière un problème récurrent dans le domaine de la cybersécurité : le manque de suivi et d’application rigoureuse des mises à jour.

Les pare-feux Fortinet ne sont pas les seuls concernés. Cette affaire illustre une tendance plus large où la gestion des vulnérabilités est souvent reléguée au second plan, jusqu’à ce qu’une attaque rappelle brutalement son importance. Les entreprises doivent se doter de politiques claires et efficaces pour s’assurer que les systèmes critiques ne restent pas vulnérables plus longtemps que nécessaire. C’est une question de sécurité, mais aussi de responsabilité.

Alors, que faire pour éviter de se retrouver dans une telle situation ? Les entreprises doivent non seulement être réactives face aux alertes de sécurité, mais aussi proactives en matière de gestion des patchs. C’est un investissement qui peut sembler lourd de prime abord, mais qui s’avère crucial pour la protection des données et la pérennité des opérations.