Sélection de la langue

Alerte - Exploitation active de vulnérabilités dans les réseaux privés virtuels (VPN)

Numéro : AL19-016
Date : 28 août 2019

Auditoire

La présente alerte est destinée aux professionnels des TI et aux gestionnaires des organismes avisés. Les destinataires peuvent redistribuer l’information contenue dans la présente alerte au sein de leurs organismes respectifs.

Objet

Une alerte a pour objet de prévenir les destinataires relativement à des cybermenaces qui ont été relevées récemment et qui pourraient peser sur les biens d’information électronique. Elle vise également à leur fournir des conseils supplémentaires en matière de détection DétectionSurveillance et analyse des événements d'un système en vue de relever les tentatives d’accès non autorisées aux ressources du système. et d’atténuation. Au reste, le Centre canadien pour la cybersécurité CybersécuritéProtection de données numériques et préservation de l'intégrité de l'infrastructure servant à stocker et à transmettre des données numériques. Plus particulièrement, la cybersécurité englobe l'ensemble des technologies, des processus, des pratiques, des mesures d'intervention et d'atténuation dont la raison d'être est d'empêcher que les réseaux, ordinateurs, programmes et données soient attaqués ou endommagés, ou qu'on y accède sans autorisation, afin d'en assurer la confidentialité, l'intégrité et la disponibilité. (ou Centre pour la cybersécurité) est en mesure d'offrir, aux destinataires qui en font la demande, une assistance complémentaire concernant la teneur de la présente alerte.

Aperçu

Le Centre pour la cybersécurité a pris acte de tentatives généralisées d'exploitation des réseaux virtuels privés (RPV RPVVoir Réseau privé virtuel. ). Un récent exposé de Black Hat (2019) sur les vulnérabilités des RPV a provoqué un accroissement de l'intérêt pour l'exploitation de vulnérabilités que l'on retrouve dans les produits pour RPV, y compris Fortinet Fortigate, Palo Alto GlobalProtect et Pulse Secure. Dans certains cas, le code de démonstration de faisabilité et les outils d'exploitation ont été publiés dans Internet.

Étant donné que les dispositifs RPV sont généralement en contact avec Internet, il est de prime importance que ces dispositifs reçoivent les plus récents correctifs, et ce, dans les plus brefs délais.

Évaluation

Fortinet Fortigate VPN

Plusieurs vulnérabilités de Fortinet Fortigate SSL VPN ont été découvertes par les présentateurs de Black Hat, notamment une « porte dérobée Porte dérobéeMoyen non recensé qui permet, discrètement ou anonymement, d'accéder à distance à un ordinateur après avoir contourné les mécanismes d'authentification et s'être donné accès au texte en clair. » dans les VPN, qui n'avait pourtant pas été divulguée. Ces vulnérabilités pourraient permettre à des auteurs malveillants d'utiliser des fonctions à distances, notamment, la visualisation d'informations sensibles comme les codes d'utilisateur et les mots de passe en texte clair, la modification de mots de passe utilisateur ou l'exécution de code arbitraire sur les serveurs d'un RPV. Voici des informations concernant les plus importantes vulnérabilités :

  • CVE-2018-13382: A backdoor could allow an unauthenticated user to change SSL VPN user passwords. A software tool which is allegedly able to exploit this vulnerability has been released publicly.
  • CVE-2018-13379: A path traversal vulnerability could allow a remote, unauthenticated actor to view sensitive information, including plaintext usernames and passwords.
  • CVE-2018-13380: A cross-site scripting vulnerability.
  • CVE-2018-13383: A remote code execution vulnerability that could allow an authenticated user to execute code on the VPN server.

Ces vulnérabilités touchent diverses versions du logiciel Fortinet FortiOS sous-jacent. Des correctifs ont été publiés pour toutes les versions dont on sait qu'elles sont touchées. Voir les informations permettant d'accéder aux articles CVE en question dans la section sur les documents de références.

Lorsque les administrateurs ne sont pas en mesure d'installer les correctifs ou de mettre à jour/à niveau leur RPV immédiatement, Fortinet leur recommande de désactiver SSL VPN en guise de solution de rechange immédiate. Cette solution s'applique en désactivant les stratégies de pare-feu qui sont liées à SSL VPN, puis en désactivant SSL VPN au moyen des commandes suivantes :

Pour FortiOS 5.2 et les branches supérieures :

config vpn ssl settings

unset source-interface

end

Pour fortios 5.0 et les branches inférieures :

config vpn ssl settings

set sslvpn-enable disable

end

Palo Alto GlobalProtect VPN

Une vulnérabilité VulnérabilitéDéfectuosité ou lacune inhérente à la conception ou à la mise en œuvre d’un système d’information ou à son environnement, qui pourrait être exploitée en vue de compromettre les biens ou les activités d’une organisation. dans Palo Alto GlobalProtect VPN permettrait à un auteur distant non authentifié d'exécuter du code arbitraire sur un serveur RPV (CVE-2019-1579). Le code de démonstration de faisabilité a été affiché publiquement. Selon les observations de tiers chercheurs, cette vulnérabilité serait déjà exploitée. Cette vulnérabilité touche diverses versions du logiciel Palo Alto PAN-OS sous-jacent. Des correctifs ont été publiés pour toutes les versions dont on sait qu'elles sont touchées.

Pulse Connect Secure and Pulse Policy Secure VPN
Bon nombre de vulnérabilités ont été découvertes dans les produits Pulse Connect Secure (PCS) et Pulse Policy Secure (PPS), y compris une vulnérabilité de lecture arbitraire de fichiers (CVE-2019-11510) qui pourrait permettre à un auteur distant non authentifié de visualiser les mots de passe utilisateur (texte clair) qui sont en cache ainsi que d'autres informations sensibles. Ces vulnérabilités touchent plusieurs versions des produits PCS et PPS. Des correctifs ont été publiés pour toutes les versions dont on sait qu'elles sont touchées.

Documents de Référence

Black Hat 2019 “Infiltrating Corporate Intranet Like NSA” presentation: https://i.blackhat.com/USA-19/Wednesday/us-19-Tsai-Infiltrating-Corporate-Intranet-Like-NSA.pdf
Fortinet security advisories: https://fortiguard.com/psirt/FG-IR-18-384 (CVE-2018-13379), https://fortiguard.com/psirt/FG-IR-18-383 (CVE-2018-13380), https://fortiguard.com/psirt/FG-IR-18-389 (CVE-2018-13382), https://fortiguard.com/psirt/FG-IR-18-388 (CVE-2018-13383)
Palo Alto security advisory: https://securityadvisories.paloaltonetworks.com/Home/Detail/158
Pulse Secure security advisory: https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44101

Note aux Lecteurs

Le Centre canadien pour la cybersécurité (CCC) relève du Centre de la sécurité des télécommunications. À titre d’autorité canadienne en matière de cybersécurité, il dirige les interventions du gouvernement suivant des événements liés à la cybersécurité. Le personnel du CCC agit à titre d’équipe nationale d’intervention en cas d’incident IncidentIncident réel au cours duquel un agent de menace exploite une vulnérabilité d’un bien de TI de valeur. lié à la sécurité informatique et travaille étroitement avec les ministères, avec les propriétaires et les exploitants d’infrastructures essentielles, avec les entreprises canadiennes et avec des partenaires internationaux pour intervenir en cas d’incidents de cybersécurité ou pour atténuer les conséquences qui découlent de ces incidents. Ce faisant, Le Centre pour la cybersécurité offre conseils et soutien d’expert, et coordonne les communications d’information ainsi que les interventions en cas d’incidents. Le Centre pour la cybersécurité est à l’écoute des entités externes et favorise les partenariats visant à créer un cyberespace canadien fort et résilient.

Date de modification :