Numéro : AL21-005 MISE JOUR 1
Date : 6 avril 2021
Mise à jour : 28 mai 2021
AUDITOIRE
La présente alerte s’adresse aux professionnels et aux gestionnaires des TI œuvrant au sein des organismes avisés.
OBJET
Une alerte a pour objet de prévenir les destinataires que des cybermenaces ont été relevées récemment et que celles-ci pourraient toucher les biens d’information électronique. Elle vise également à leur fournir des conseils supplémentaires en matière de détection et d’atténuation. Au reste, le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) est en mesure d’offrir, aux destinataires qui en font la demande, une assistance complémentaire concernant la teneur de la présente alerte.
ÉVALUATION
Le 2 avril 2021, la Cybersecurity and Infrastructure Security Agency (CISA), qui est responsable d’assurer la protection de l’infrastructure essentielle américaine contre les menaces physiques et les cybermenaces, et le Federal Bureau of Investigation (FBI) ont publié un bulletin de sécurité conjoint [1] pour faire état d’activités de balayage et de l’exploitation de vulnérabilités liées aux appareils Fortinet non corrigés.
Le bulletin énonce que des auteurs de menaces dotés de moyens sophistiqués auraient effectué des activités de balayage et exploité trois vulnérabilités précises dans FortiOS :
- CVE-2018-13379 : Une vulnérabilité de traversée de chemin dans FortiOS.
- CVE-2020-12812 : Une vulnérabilité d’authentification inadéquate dans FortiOS SSL VPN.
- CVE-2019-5591 : Une vulnérabilité de configuration par défaut dans FortiOS.
Fortinet a précédemment publié des mises à jour visant à corriger les vulnérabilités ci-dessus. Le Centre pour la cybersécurité a signalé les vulnérabilités CVE-2018-13379 en août 2019. [2]
Le bulletin énonce que les auteurs de menace pourraient exploiter une seule ou plusieurs de ces vulnérabilités CVE pour obtenir l’accès aux réseaux dans différents secteurs, dont le gouvernement et les services commerciaux et techniques, en vue de se préparer à l’exfiltration ou au chiffrement de données.
Le Centre pour la cybersécurité veut mettre l’accent sur cette alerte, puisqu’elle fournit de l’information importante aux exploitants et aux propriétaires de système qui sont responsables de défendre leurs systèmes et réseaux contre les cybermenaces.
Si une activité correspondant au contenu de cette alerte est détectée, les destinataires sont encouragés à contacter le Centre pour la cybersécurité par courriel (contact@cyber.gc.ca) ou par téléphone (1-833-CYBER-88 ou 1-833-292-3788).
MISE À JOUR 1
Le 27 mai 2021, en collaboration avec la CISA, le FBI a publié un bulletin FBI FLASH ayant un avertissement mis à jour concernant l'exploitation continue des vulnérabilités liées à FortiOS (CVE-2018-13379, CVE-2020-12812 et CVE-2019-5591) par des auteurs de menaces dotés de moyens sophistiqués. Le bulletin FBI FLASH énonce que des auteurs de menaces dotés de moyens sophistiqués exploitent les vulnérabilités liées à un appliance Fortigate pour accéder au serveur Web hébergeant le domaine d'une administration municipale américaine. Consultez le bulletin FBI FLASH pour obtenir plus de détails et obtenir les mesures d'atténuation recommandées.
RÉFÉRENCES
[1] APT Actors Exploit Vulnerabilities to Gain Initial Access for Future Attacks (CISA, FBI)
https://www.ic3.gov/Media/News/2021/210402.pdf (en anglais seulement)
[2] Exploitation active de vulnérabilités dans les réseaux privés virtuels (RPV) (AL19-016) :
https://cyber.gc.ca/fr/avis/exploitation-active-de-vulnerabilites-dans-les-reseaux-prives-virtuels-vpn
[3] APT Actors Exploiting Fortinet Vulnerabilities to Gain Access for Malicious Activity (CISA, FBI)
https://www.ic3.gov/Media/News/2021/210527.pdf (en anglais seulement)
NOTE AUX LECTEURS
Le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) mène ses activités sous l’égide du Centre de la sécurité des télécommunications. Il constitue l’autorité canadienne en matière de cybersécurité et dirige les interventions du gouvernement lors d’événements liés à la cybersécurité. Le personnel du Centre pour la cybersécurité agit à titre d’équipe nationale d’intervention en cas d’incident lié à la sécurité informatique et travaille étroitement avec les ministères, les propriétaires et exploitants d’infrastructures essentielles, les entreprises canadiennes et des partenaires internationaux pour intervenir en cas d’incident de cybersécurité ou pour atténuer les conséquences en découlant. C’est dans cette optique que nous prodiguons des conseils d’experts et offrons un soutien de premier plan, et que nous coordonnons la diffusion de l’information pertinente ainsi que les interventions en cas d’incident. Le Centre pour la cybersécurité est à l’écoute des entités externes et favorise les partenariats visant à créer un cyberespace canadien fort et resilient.