Numéro : AL19-016
Date : 28 août 2019
Auditoire
La présente alerte est destinée aux professionnels des TI et aux gestionnaires des organismes avisés. Les destinataires peuvent redistribuer l’information contenue dans la présente alerte au sein de leurs organismes respectifs.
Objet
Une alerte a pour objet de prévenir les destinataires relativement à des cybermenaces qui ont été relevées récemment et qui pourraient peser sur les biens d’information électronique. Elle vise également à leur fournir des conseils supplémentaires en matière de détection et d’atténuation. Au reste, le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) est en mesure d'offrir, aux destinataires qui en font la demande, une assistance complémentaire concernant la teneur de la présente alerte.
Aperçu
Le Centre pour la cybersécurité a pris acte de tentatives généralisées d'exploitation des réseaux virtuels privés (RPV). Un récent exposé de Black Hat (2019) sur les vulnérabilités des RPV a provoqué un accroissement de l'intérêt pour l'exploitation de vulnérabilités que l'on retrouve dans les produits pour RPV, y compris Fortinet Fortigate, Palo Alto GlobalProtect et Pulse Secure. Dans certains cas, le code de démonstration de faisabilité et les outils d'exploitation ont été publiés dans Internet.
Étant donné que les dispositifs RPV sont généralement en contact avec Internet, il est de prime importance que ces dispositifs reçoivent les plus récents correctifs, et ce, dans les plus brefs délais.
Évaluation
Fortinet Fortigate VPN
Plusieurs vulnérabilités de Fortinet Fortigate SSL VPN ont été découvertes par les présentateurs de Black Hat, notamment une « porte dérobée » dans les VPN, qui n'avait pourtant pas été divulguée. Ces vulnérabilités pourraient permettre à des auteurs malveillants d'utiliser des fonctions à distances, notamment, la visualisation d'informations sensibles comme les codes d'utilisateur et les mots de passe en texte clair, la modification de mots de passe utilisateur ou l'exécution de code arbitraire sur les serveurs d'un RPV. Voici des informations concernant les plus importantes vulnérabilités :
- CVE-2018-13382: A backdoor could allow an unauthenticated user to change SSL VPN user passwords. A software tool which is allegedly able to exploit this vulnerability has been released publicly.
- CVE-2018-13379: A path traversal vulnerability could allow a remote, unauthenticated actor to view sensitive information, including plaintext usernames and passwords.
- CVE-2018-13380: A cross-site scripting vulnerability.
- CVE-2018-13383: A remote code execution vulnerability that could allow an authenticated user to execute code on the VPN server.
Ces vulnérabilités touchent diverses versions du logiciel Fortinet FortiOS sous-jacent. Des correctifs ont été publiés pour toutes les versions dont on sait qu'elles sont touchées. Voir les informations permettant d'accéder aux articles CVE en question dans la section sur les documents de références.
Lorsque les administrateurs ne sont pas en mesure d'installer les correctifs ou de mettre à jour/à niveau leur RPV immédiatement, Fortinet leur recommande de désactiver SSL VPN en guise de solution de rechange immédiate. Cette solution s'applique en désactivant les stratégies de pare-feu qui sont liées à SSL VPN, puis en désactivant SSL VPN au moyen des commandes suivantes :
Pour FortiOS 5.2 et les branches supérieures :
config vpn ssl settings
unset source-interface
end
Pour fortios 5.0 et les branches inférieures :
config vpn ssl settings
set sslvpn-enable disable
end
Palo Alto GlobalProtect VPN
Une vulnérabilité dans Palo Alto GlobalProtect VPN permettrait à un auteur distant non authentifié d'exécuter du code arbitraire sur un serveur RPV (CVE-2019-1579). Le code de démonstration de faisabilité a été affiché publiquement. Selon les observations de tiers chercheurs, cette vulnérabilité serait déjà exploitée. Cette vulnérabilité touche diverses versions du logiciel Palo Alto PAN-OS sous-jacent. Des correctifs ont été publiés pour toutes les versions dont on sait qu'elles sont touchées.
Pulse Connect Secure and Pulse Policy Secure VPN
Bon nombre de vulnérabilités ont été découvertes dans les produits Pulse Connect Secure (PCS) et Pulse Policy Secure (PPS), y compris une vulnérabilité de lecture arbitraire de fichiers (CVE-2019-11510) qui pourrait permettre à un auteur distant non authentifié de visualiser les mots de passe utilisateur (texte clair) qui sont en cache ainsi que d'autres informations sensibles. Ces vulnérabilités touchent plusieurs versions des produits PCS et PPS. Des correctifs ont été publiés pour toutes les versions dont on sait qu'elles sont touchées.
Documents de Référence
Black Hat 2019 “Infiltrating Corporate Intranet Like NSA” presentation: https://i.blackhat.com/USA-19/Wednesday/us-19-Tsai-Infiltrating-Corporate-Intranet-Like-NSA.pdf
Fortinet security advisories: https://fortiguard.com/psirt/FG-IR-18-384 (CVE-2018-13379), https://fortiguard.com/psirt/FG-IR-18-383 (CVE-2018-13380), https://fortiguard.com/psirt/FG-IR-18-389 (CVE-2018-13382), https://fortiguard.com/psirt/FG-IR-18-388 (CVE-2018-13383)
Palo Alto security advisory: https://securityadvisories.paloaltonetworks.com/Home/Detail/158
Pulse Secure security advisory: https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44101
Note aux Lecteurs
Le Centre canadien pour la cybersécurité (CCC) relève du Centre de la sécurité des télécommunications. À titre d’autorité canadienne en matière de cybersécurité, il dirige les interventions du gouvernement suivant des événements liés à la cybersécurité. Le personnel du CCC agit à titre d’équipe nationale d’intervention en cas d’incident lié à la sécurité informatique et travaille étroitement avec les ministères, avec les propriétaires et les exploitants d’infrastructures essentielles, avec les entreprises canadiennes et avec des partenaires internationaux pour intervenir en cas d’incidents de cybersécurité ou pour atténuer les conséquences qui découlent de ces incidents. Ce faisant, Le Centre pour la cybersécurité offre conseils et soutien d’expert, et coordonne les communications d’information ainsi que les interventions en cas d’incidents. Le Centre pour la cybersécurité est à l’écoute des entités externes et favorise les partenariats visant à créer un cyberespace canadien fort et résilient.