Des pirates informatiques démolissent des pare-feu FortiGate : Fortinet met en garde contre une « utilisation abusive active ».

Fortinet signale une grave vulnérabilité dans ses pare-feu FortiGate. Un correctif est disponible, mais il est peut-être déjà trop tard pour de nombreuses entreprises.

L’éditeur de solutions de sécurité Fortinet a publié un bulletin détaillant les vulnérabilités de FortiOS et FortiProxy, le logiciel fonctionnant sur les pare-feu FortiGate de l’entreprise. Ces logiciels font actuellement l’objet d’attaques actives de la part de pirates. La vulnérabilité permet aux attaquants de contourner l’authentification et de s’octroyer à distance des privilèges de superadministrateur afin de se promener librement dans le réseau de l’entreprise.

Fortinet prévient que la vulnérabilité est actuellement activement exploitée et demande à ses clients de procéder à une mise à jour dès que possible. Ce conseil est partagé par l’agence américaine de cybersécurité CISA. Avec un score CVSS de 9,6 sur une échelle de 10, la vulnérabilité est qualifiée de critique.

Dans ce bulletin, Fortinet énumère les versions de FortiOS et de FortiProxy concernées. Les versions 7.0 à 7.0.16 de FortiOS sont concernées et doivent être mises à jour vers la version 7.0.17 ou une version plus récente. Pour FortiProxy, les versions 7.0 à 7.0.19 et 7.2 à 7.2.12 sont vulnérables. Encore une fois, la mise à jour vers une version sécurisée est le message pour garder les ports FortiGate ouverts.

Un pansement sur la plaie

Le correctif pourrait arriver trop tard cette fois-ci. La société de sécurité Arctic Wolf a remarqué un pic d' »activité suspecte » autour des pare-feu FortiGate en décembre. À l’époque, la vulnérabilité était encore un jour zéro qui n’était pas dans le collimateur de Fortinet. On ne sait pas combien d’entreprises ont pu être touchées au cours de cette période. Des recherches supplémentaires sont nécessaires pour évaluer l’impact de la vulnérabilité, conclut Arctic Wolf dans son analyse précédente.

Outre l’installation des mises à jour du micrologiciel, les utilisateurs de FortiGate sont invités à rechercher des traces d’abus dans les journaux et à bloquer les interfaces de gestion sur la connexion Internet publique. Arctic Wolf Labs insiste sur le fait que ces interfaces ne devraient être accessibles qu’aux utilisateurs internes. Les mauvaises configurations qui permettent un accès externe augmentent considérablement la surface d’attaque et le risque d’abus.

48 000 pare-feu vulnérables

Selon les chiffres de ShadowServer, 48 146 pare-feu répartis dans le monde entier sont vulnérables. Il s’agit de dispositifs dont les propriétaires n’ont pas lu les conseils de Fortinet et n’ont donc pas encore installé le correctif. 20 000 pare-feux vulnérables se trouvent en Asie, tandis qu’en Europe, on en dénombre 7 000. En Belgique, le compteur s’élève à 149, mais nous espérons que ces entreprises prendront conscience du problème et agiront.

Fortinet a complètement raté le début de l’année 2025. En plus de cette vulnérabilité, une ancienne fuite datant de 2022 est revenue sur le devant de la scène, laissant échapper les données de 15 000 appareils FortiGate. Cela montre surtout qu’aucun outil ne peut à lui seul assurer une protection complète, en particulier un pare-feu. Ceux qui n’ont pas de défenses supplémentaires sont des oiseaux pour le chat une fois que les attaquants ont franchi le pare-feu.

Cet article a été initialement publié le 15 janvier et a été mis à jour avec les informations les plus récentes.