L’Anssi reste vigilante sur les vulnérabilités détectées dans les équipements de sécurité, et elle veut le faire savoir. Le cyber-pompier français vient d’alerter la presse sur ce sujet critique dans une nouvelle alerte média. Il y a en effet du grain à moudre. Son Centre de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR) vient de signaler le 14 janvier 2025 une nouvelle vulnérabilité dans les produits Fortinet, actuellement “activement exploitée” selon l’éditeur.
Cette vulnérabilité critique (CVE-2024-55591) affecte le système d’exploitation FortiOS et le proxy web sécurisé FortiProxy. “Elle permet à un attaquant distant non authentifié de contourner le mécanisme d’authentification de l’interface d’administration et d’obtenir des privilèges super-administrateur via l’envoi de requêtes forgées au module websocket Node.js”, précise le CERT-FR.
Alerte CERT-FR
CERTFR-2025-ALE-002 : La vulnérabilité CVE-2024-55591 affecte les équipements Fortinet et permet à un attaquant non authentifié de provoquer une exécution de code arbitraire à distance.
Elle est activement exploitée.
www.cert.ssi.gouv.fr/alerte/CERTF…— CERT-FR (@cert-fr.bsky.social) 14 janvier 2025 à 18:07
Multiples failles
A la fin octobre, l’éditeur californien avait également remarqué une faille dans un autre de ses produits, FortiManager. Elle permettait “à un attaquant non authentifié de provoquer une exécution de code arbitraire à distance”, rappelait le CERT-FR dans son premier bulletin d’alerte. Quelques semaines plus tard, ce dernier alertait sur une vulnérabilité non couverte par le correctif proposé par l’éditeur, une faille finalement comblée seulement le 14 janvier.
Comme le rappelle l’Anssi, Fortinet n’est pas le seul à avoir remarqué des failles dans ses produits.
Début janvier, la société Ivanti, dont les déboires ont alimenté la chronique en 2024, a de nouveau déploré une faille dans plusieurs de ses produits. Enfin, à la mi-novembre, Palo Alto Networks avait diffusé des correctifs suite à la découverte d’une vulnérabilité critique dans certains de ses pare-feux.
Porte d’entrée
Les équipements de sécurité peuvent constituer “une porte d’entrée facile dans les réseaux” pour des espions ou par opportunisme, avertit l’Anssi. Bien qu’ils portent des services critiques, “ces équipements sont généralement moins supervisés”, remarque l’agence dirigée par Vincent Strubel.
Mais comme l’admet l’Anssi, la remédiation des failles de ces équipements peut être “complexe”. D’autant plus que plusieurs semaines sont parfois “nécessaires aux constructeurs pour mettre à disposition des correctifs efficaces pour l’ensemble des modèles affectés”. Résultat, “certaines vulnérabilités ont été exploitées massivement et à grande échelle, faute de mesures d’atténuation”, regrette l’agence.
L’Anssi espère désormais que les obligations liées au Cyber Resilience Act, un règlement européen qui va progressivement entrer en vigueur dans les trois ans à venir, poussent les éditeurs à améliorer le niveau de sécurité de leurs produits. L’agence rappelle justement qu’elle “veillera à son échelle à la mise en œuvre et au respect de ces obligations”. Les éditeurs sont désormais prévenus.