Des chercheurs en sécurité informatique ont découvert un code d’exploitation ciblant une vulnérabilité jusqu’alors inconnue dans les pare-feu d’applications web de Fortinet. Cette faille est similaire à une autre corrigée par Fortinet en 2022. La découverte a été réalisée grâce à un environnement de pot de miel, révélant un malware affectant les pare-feu FortiWeb, initialement passé inaperçu sur VirusTotal. La vulnérabilité semble impliquer une traversée de chemin, permettant aux attaquants de contourner l’authentification sur l’interface d’administration et d’effectuer des actions administratives.
Pour protéger les utilisateurs, les détails spécifiques de la charge utile restent confidentiels. Cependant, l’attaque implique l’envoi de malware via une requête HTTP POST à un point de terminaison spécifique, intégrant des commandes pour créer un compte utilisateur. Des indicateurs de compromission, tels que les adresses IP d’origine et les combinaisons nom d’utilisateur-mot de passe tentées, ont été identifiés.
Des experts en informatique légale ont démontré la fonctionnalité de l’exploitation, confirmant sa capacité à créer un compte administrateur sur un pare-feu FortiWeb. Fortinet n’a pas encore publié de déclaration, la dernière mise à jour de sécurité datant du 3 novembre. Par précaution, il est conseillé aux administrateurs de restreindre l’accès au pare-feu aux adresses IP de confiance, surtout si l’interface d’administration est accessible sur le réseau.
