Selon l’observatoire Shadowserver, des milliers de pare-feu FortiGate exposés sur Internet sont toujours vulnérables au contournement de la double authentification, malgré un correctif disponible depuis cinq ans.
Quelques jours après l’avertissement publié par Fortinet, l’ampleur du problème se précise. Shadowserver recense plus de 10 000 boîtiers FortiGate encore accessibles en ligne et vulnérables à la faille CVE-2020-12812, un contournement de la double authentification pourtant corrigé en 2020. Un chiffre qui illustre surtout le volume d’installations non mises à jour, désormais plus préoccupant que la faille elle-même.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Une exposition massive qui persiste malgré le correctif
Selon les relevés publiés par Shadowserver, plus de 10 000 pare-feu FortiGate restent exposés à la faille CVE-2020-12812, une vulnérabilité qui permet de contourner la double authentification en modifiant simplement la casse du nom d’utilisateur et d’ouvrir un accès VPN lorsque la configuration LDAP s’y prête. Les États-Unis concentrent environ 1 300 équipements non patchés, suivis de Taïwan, de la Chine et du Japon. La France apparaît également dans la liste, avec 227 pare-feu encore vulnérables.
Cette cartographie regroupe les systèmes dont le service VPN SSL est visible depuis Internet et qui fonctionnent toujours avec des versions de FortiOS non patchées ou configurées incorrectement. Cinq ans après la publication du correctif, ces équipements restent donc accessibles avec une authentification affaiblie.
Patcher les installations vulnérables sans attendre
Pour les organisations concernées, la marche à suivre ne change pas. Il faut d’abord installer les versions corrigées de FortiOS, seul moyen de bloquer durablement le contournement. Fortinet rappelle que les correctifs datent de 2020 et qu’un pare-feu non patché reste vulnérable tant qu’il est exposé sur Internet.
Le réglage de sensibilité à la casse des identifiants doit également être désactivé sur les comptes locaux utilisés avec LDAP. Cette étape évite que des variantes d’un même login soient traitées comme des comptes différents, ce qui empêche la double authentification de se déclencher. Une relecture des groupes LDAP déclarés dans les règles d’accès s’impose aussi, en particulier pour les droits VPN et d’administration, afin d’éliminer les chemins alternatifs qui valident une session sans 2FA.
On rappellera enfin qu’un pare-feu non corrigé et exposé sur Internet constitue une cible idéale pour un attaquant disposant d’identifiants compromis. En cas d’exploitation suspectée de la faille, il est conseillé de vérifier les journaux d’accès, de repérer d’éventuelles connexions inhabituelles ou variantes sur la casse des identifiants, puis de renouveler les mots de passe sensibles, y compris ceux utilisés pour la liaison LDAP.
