Des détails concernant un CVE que j’ai découvert l’année dernière maintenant que les différents patchs sont disponibles (et que tout le monde a réalisé ses mises à jour bien sûr !)

La problématique concernant la partie VDOM des équipements de sécurités FortiGate (de chez Fortinet).

Les VDOM permet de réaliser des instances pare-feu virtuel au sein d’un pare-feu physique des supers VRF !).

C’est une solution très utilisé par les MSSP afin de séparer ses différents clients ou des configurations particulières…

Revenons à notre faille, elle est assez « simple », dans une architecture avec 2 VDOM : A et B.

On as elle permet à un utilisateur A avec uniquement accès au VDOM A d’accéder aux ressources d’un VDOM B.

une petite demo !

Mon pare-feu dispose de plusieurs VDOM

et des utilisateurs avec accès uniquement à leur VDOM

Depuis l’interface web, on a rien…

Aucune interface du VDOM B dans le VDOM A

Mais dès qu’on passe par l’API (qui est utilisé par l’interface web), on peut récupérer la liste des VDOM

Liste des VDOM via l’API Web

Et la liste des interfaces

Liste des interfaces en API Web

Avec l’excellent PowerFGT 😉 qui est mon outil pour interroger les équipements FortiGate en PowerShell (j’aurai l’occasion d’en reparler !), la même chose :

La connexion et l’accès à la liste des VDOM

Liste des VDOM en PowerShell

et la liste des interfaces :

Listes des interfaces en PowerShell

 

La faille est présente dans les versions FortiOS suivantes :

  • FortiOS : 6.2.x
  • FortiOS <= 6.4.8
  • FortiOS <= 7.0.3

Et c’est corrigé en version 6.4.9 et 7.0.4!

Et la timeline concernant la découverte & correction

  • 14 Septembre 2021: Signalement au PSIRT Fortinet
  • 16 Septembre 2021: Confirmation du bug par PSIRT Fortinet
  • 29 Octobre 2021: Affectation du score CVE (6.2) + Fix prévu pour décembre/janvier (6.4.8 et 7.0.3)
  • 20 Décembre 2021: Retour de Fortinet, décalage des correctifs à la version 6.4.9 & 7.0.4
  • 18 Janvier 2022: Retour de fortinet : 7.0.4 prévu fin janvier (Sortie au final le 27 Janvier)
  • 26 Avril 2022: Sortie de la 6.4.9
  • 2 Mai 2022: Diffusion de l’avis de sécurité sur le portail fortinet (PSIRT) => https://www.fortiguard.com/psirt/FG-IR-21-147

 

À bientôt pour des nouvelles CVE 😉

 

Alexis La Goutte

Rédigé par

Alexis La Goutte

Alexis La Goutte est depuis 8 ans consultant Réseau & Sécurité chez Cheops Technology. Il intervient chez des ETI de l’ouest et quelques grands comptes nationaux. Spécialisé dans le réseau, et plus particulièrement sur les produits Aruba, et dans la virtualisation & sécurisation du réseau VMware NSX. Alexis est certifié Aruba Certified Mobility eXpert (ACMX) et Aruba Certified ClearPass Professional (ACCP) également membre des programmes Aruba Ambassador Partner et MVP Airheads depuis 2017.
Lors qu’il lui reste du temps, il est Core dev pour Wireshark (contributeur au dissector WiFi, TLS, QUIC…) depuis 2011. Il contribue aussi au module PowerNSX qui permet l’automatisation NSX via PowerShell. il y a aussi crée en 2018, PowerAruba qui regroupe différents modules concernant l’automatisation (utilisation des API REST) des produits Aruba/HPE (PowerArubaSW), pour ArubaCX (PowerArubaCX) et enfin pour ClearPass (PowerArubaCP).
Depuis 2020, Alexis est devenu vExpert, et reconnu aussi dans la catégorie vExpert NSX.