Numéro : AL19-016
Date : 17 Septembre 2019
MISE À JOUR 1
Cette mise à jour vise à fournir de plus amples renseignements dans les sections « Signes de compromission » sous chaque produit RPV ainsi que dans la section « Mesures suggérées », laquelle décrit des méthodes plus générales pour atténuer une compromission possible.
AUDITOIRE
La présente alerte est destinée aux professionnels des TI et aux gestionnaires des organismes avisés. Les destinataires peuvent redistribuer l’information contenue dans la présente alerte au sein de leurs organismes respectifs.
OBJET
Une alerte a pour objet de prévenir les destinataires relativement à des cybermenaces qui ont été relevées récemment et qui pourraient peser sur les biens d’information électronique. Elle vise également à leur fournir des conseils supplémentaires en matière de détection et d’atténuation. Au reste, le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) est en mesure d'offrir, aux destinataires qui en font la demande, une assistance complémentaire concernant la teneur de la présente alerte.
APERÇU
Le Centre pour la cybersécurité a pris acte de tentatives généralisées d'exploitation des réseaux virtuels privés (RPV). Un récent exposé de Black Hat (2019) sur les vulnérabilités des RPV a provoqué un accroissement de l'intérêt pour l'exploitation de vulnérabilités que l'on retrouve dans les produits pour RPV, y compris Fortinet Fortigate, Palo Alto GlobalProtect et Pulse Secure. Dans certains cas, le code de démonstration de faisabilité et les outils d'exploitation ont été publiés dans Internet. Étant donné que les dispositifs RPV sont généralement en contact avec Internet, il est de prime importance que ces dispositifs reçoivent les plus récents correctifs, et ce, dans les plus brefs délais.
ÉVALUATION
Fortinet Fortigate VPN
Plusieurs vulnérabilités de Fortinet Fortigate SSL VPN ont été découvertes par les présentateurs de Black Hat, notamment une « porte dérobée » dans les VPN, qui n'avait pourtant pas été divulguée. Ces vulnérabilités pourraient permettre à des auteurs malveillants d'utiliser des fonctions à distances, notamment, la visualisation d'informations sensibles comme les noms d'utilisateur et les mots de passe en texte clair, la modification de mots de passe utilisateur ou l'exécution de code arbitraire sur les serveurs d'un RPV. Voici des informations concernant les plus importantes vulnérabilités :
- CVE-2018-13382 : Une porte dérobée qui pourrait permettre à un utilisateur non authentifié de modifier le mot de passe des utilisateurs de RPV SSL. Un outil logiciel qui est censément capable d'exploiter cette vulnérabilité a été rendu public.
- CVE-2018-13379 : Une vulnérabilité de traversée de chemin (path transversal) qui pourrait permettre à un auteur distant non authentifié de visualiser des données sensibles, notamment des noms d'utilisateur et des mots de passe.
- CVE-2018-13380 : Une vulnérabilité liée aux scripts intersites.
- CVE-2018-13383 : Une vulnérabilité permettant l'exécution à distance de code grâce auquel un utilisateur authentifié pourrait exécuter du code sur un serveur RPV.
Ces vulnérabilités touchent diverses versions du logiciel Fortinet FortiOS sous-jacent. Des correctifs ont été publiés pour toutes les versions dont on sait qu'elles sont touchées. Voir les informations permettant d'accéder aux articles CVE en question dans la section sur les documents de références. Lorsque les administrateurs ne sont pas en mesure d'installer les correctifs ou de mettre à jour/à niveau leur RPV immédiatement, Fortinet leur recommande de désactiver SSL VPN en guise de solution de rechange immédiate. Cette solution s'applique en désactivant les stratégies de pare-feu qui sont liées à SSL VPN, puis en désactivant SSL VPN au moyen des commandes suivantes :
Pour FortiOS 5.2 et les branches supérieures :
config vpn ssl settings
unset source-interface
end
Pour FortiOS 5.0 et les branches inférieures :
config vpn ssl settings
set sslvpn-enable disable
end
Signes de compromission :
- Vérifier dans les journaux des dispositifs s’il existe des demandes HTTP GET qui ont été envoyées à /remote/fgt_lang et qui contiennent le paramètre « lang ». Une demande de cette nature pourrait indiquer une tentative d’exploitation de la vulnérabilité CVE-2018-13379. Par exemple, une demande HTTP qui tente de lire le fichier « sslvpn_websessions », lequel peut contenir des noms d’utilisateur et des mots de passe en texte clair, serait affichée dans le journal comme une demande HTTP envoyée à /remote/fgt_lang?lang=/../../../..//////////dev/cmdb/sslvpn_websession.
- Vérifier dans les journaux des dispositifs s’il existe des demandes HTTP POST qui ont été envoyées à /remote/logincheck et qui contiennent le paramètre « magic ». Une demande de cette nature indique une tentative d’exploitation de la vulnérabilité CVE-2018-13382.
Palo Alto GlobalProtect VPN
Une vulnérabilité dans Palo Alto GlobalProtect VPN permettrait à un auteur distant non authentifié d'exécuter du code arbitraire sur un serveur RPV (CVE-2019-1579). Le code de démonstration de faisabilité a été affiché publiquement. Selon les observations de tiers chercheurs, cette vulnérabilité serait déjà exploitée. Cette vulnérabilité touche diverses versions du logiciel Palo Alto PAN-OS sous-jacent. Des correctifs ont été publiés pour toutes les versions dont on sait qu'elles sont touchées.
Signes de compromission :
Vérifier dans les journaux des dispositifs s’il existe des demandes HTTP POST qui ont été envoyées à /sslmgr et qui contiennent le paramètre « scep profile name ».
Pulse Connect Secure and Pulse Policy Secure VPN
Bon nombre de vulnérabilités ont été découvertes dans les produits Pulse Connect Secure (PCS) et Pulse Policy Secure (PPS), y compris une vulnérabilité de lecture arbitraire de fichiers (CVE-2019-11510) qui pourrait permettre à un auteur distant non authentifié de visualiser les mots de passe utilisateur (texte clair) qui sont en cache ainsi que d'autres informations sensibles.
Ces vulnérabilités touchent plusieurs versions des produits PCS et PPS. Des correctifs ont été publiés pour toutes les versions dont on sait qu'elles sont touchées.
Signes de compromission :
- Vérifier dans les journaux des dispositifs s’il existe des demandes HTTP GET contenant /dana/html5acc/guacamole/, ce qui indique des tentatives d’exploitation de la vulnérabilité CVE-2019-11510. Par exemple, une demande qui tente de télécharger le fichier /etc/passwd serait affichée comme une demande HTTP envoyée à /dana-na/../dana/html5acc/guacamole/../../../../../../etc/passwd?/dana/html5acc/guacamole/. Il convient de noter qu’il se peut que la journalisation de ce vecteur de compromission ne soit pas activée par défaut. Pour l’activer, les administrateurs doivent aller dans Système (System) -Journal/Surveillance (Log/Monitoring) -Accès utilisateur (User Access) -Paramètres (Settings), puis cocher [x] la case Demandes non authentifiées (Unauthenticated Requests).
- La vulnérabilité de lecture arbitraire de fichiers pourrait permettre à un auteur malveillant d’obtenir un ID session pour une session active et de l’utiliser pour se connecter au serveur RPV en contournant les mesures d’authentification, dont l’authentification à deux facteurs, si celle-ci est activée. Voici des exemples de lignes d’enregistrements dans un journal qui pourraient indiquer la présence de plusieurs utilisateurs actifs dans une seule session.
- 2019-08-14 09:35:32 – PulseSecure – [1.2.3.4] DOMAIN\username – Remote address for user DOMAIN\username changed from 1.2.3.4 to 5.6.7.8.
- 2019-08-14 09:38:56 – PulseSecure – [1.2.3.4] DOMAIN\username – Remote address for user DOMAIN\username changed from 5.6.7.8 to .
Il convient de noter qu’il est possible que l’adresse IP d’un client change de façon légitime. Toutefois, le changement fréquent d’adresses IP dans le cadre d’une seule session constitue une activité suspecte et devrait faire l’objet d’une enquête. Il en va de même pour les connexions provenant d’adresses IP suspectes et pour la présence de différentes sessions utilisateur provenant de la même adresse IP.
S’il existe des signes de compromission, les administrateurs devraient, en plus d’appliquer les correctifs requis, réinitialiser tous les justificatifs d’identité des comptes locaux sur le serveur RPV et des comptes ayant accès au service RPV.
MESURES SUGGÉRÉES
En plus de connaître les indicateurs de compromission propres aux RPV qui sont énoncés dans la section « Évaluation », les administrateurs devraient suivre les étapes générales suivantes pour renforcer leurs services RPV, quel que soit le produit :
- Appliquer les correctifs appropriés aux serveurs RPV dans les plus brefs délais et vérifier s’il existe des signes de compromission à l’aide de l’information fournie pour chacune des vulnérabilités.
- Réinitialiser tous les mots de passe utilisateur et administrateur une fois que ces vulnérabilités ont été corrigées.
- Utiliser l’authentification multifactorielle pour les utilisateurs de services RPV.
DOCUMENTS DE RÉFÉRENCE
Exposé 2019 de Black Hat, Infiltrating Corporate Intranet Like NSA :https://i.blackhat.com/USA-19/Wednesday/us-19-Tsai-Infiltrating-Corporate-Intranet-Like-NSA.pdf
Bulletins de sécurité de Fortinet :https://fortiguard.com/psirt/FG-IR-18-384 (CVE-2018-13379), https://fortiguard.com/psirt/FG-IR-18-383 (CVE-2018-13380), https://fortiguard.com/psirt/FG-IR-18-389v (CVE-2018-13382), https://fortiguard.com/psirt/FG-IR-18-388 (CVE-2018-13383)
Bulletin de sécurité de Palo Alto : https://securityadvisories.paloaltonetworks.com/Home/Detail/158
Bulletin de sécurité de Pulse Secure : https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44101
Blogue de Volexity, Vulnerable Private Networks: Corporate VPNs Exploited in the Wild :https://www.volexity.com/blog/2019/09/11/vulnerable-private-networks-corporate-vpns-exploited-in-the-wild/
NOTE AUX LECTEURS
Le Centre canadien pour la cybersécurité (CCC) relève du Centre de la sécurité des télécommunications. À titre d’autorité canadienne en matière de cybersécurité, il dirige les interventions du gouvernement suivant des événements liés à la cybersécurité. Le personnel du CCC agit à titre d’équipe nationale d’intervention en cas d’incident lié à la sécurité informatique et travaille étroitement avec les ministères, avec les propriétaires et les exploitants d’infrastructures essentielles, avec les entreprises canadiennes et avec des partenaires internationaux pour intervenir en cas d’incidents de cybersécurité ou pour atténuer les conséquences qui découlent de ces incidents. Ce faisant, Le Centre pour la cybersécurité offre conseils et soutien d’expert, et coordonne les communications d’information ainsi que les interventions en cas d’incidents. Le Centre pour la cybersécurité est à l’écoute des entités externes et favorise les partenariats visant à créer un cyberespace canadien fort et résilient.