Attaques en cours sur une vulnérabilité impactant FortiNAC

Il y a quelques jours, une vulnérabilité a été corrigée au sein de FortiNAC, solution de l’entreprise Fortinet pour la surveillance et la gestion des objets connectés au sein des réseaux internes.
Son exploitation permettait à un attaquant de prendre le contrôle du système. Il s’agit donc d’une faille à surveiller.

Cette faille de sécurité, référencée CVE-2022-39952, provient d’un manque de contrôle sur le contenu d’un paramètre fourni lors de requêtes réseau. Un attaquant distant et non authentifié pouvait exploiter cette vulnérabilité afin de déposer un fichier arbitraire sur le système au travers du mécanisme de décompression d’une archive.

Par ailleurs, un code d’exploitation tirant parti de cette vulnérabilité a été publié le 21 février par un chercheur à l’adresse suivante : https://github.com/horizon3ai/CVE-2022-39952. Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. L’exploitation de la faille à l’aide de cet outil permet de déposer une entrée dans le service crontab qui va exécuter une commande sur le système infecté. La commande ouvrira une connexion à un serveur de contrôle qui permettra à l’attaquant d’avoir un accès en ligne de commande à la machine avec les privilèges de l’utilisateur root.

Des tentatives d’exploitation de cette vulnérabilité sur Internet ont d’ores et déjà été identifiées sur Internet.

Dans le cadre de notre activité Serenety, XMCO a fait des tests préventifs chez nos clients, et ce composant semble peu exposé sur internet. Bien que l’exploitation de cette faille soit triviale et les dommages importants, il semble donc que la découverte de cette faille fasse beaucoup de bruit sans raison profonde.

Le CERT-XMCO recommande néanmoins l’installation des versions 9.4.1, 9.2.6, 9.1.8 ou 7.2.0 de FortiNAC disponible via le mécanisme de mise à jour des réglages système.

Versions vulnérables

  • FortiNAC 9.4.0
  • FortiNAC 9.2.x <= 9.2.5
  • FortiNAC 9.1.x <= 9.1.7
  • FortiNAC 8.8.x
  • FortiNAC 8.7.x
  • FortiNAC 8.6.x
  • FortiNAC 8.5.x
  • FortiNAC 8.3.x

https://fortiguard.fortinet.com/psirt/FG-IR-22-300
https://github.com/horizon3ai/CVE-2022-39952
https://www.horizon3.ai/fortinet-fortinac-cve-2022-39952-deep-dive-and-iocs/

CERT-XMCO

Découvrir d'autres articles