Alerte sur les VPN SSL

Pendant que nous profitions de nos vacances cet été, des "Exploits" [1] ont été rendus public afin d'attaquer les VPN SSL des éditeurs Pulse Secure et Fortinet. Ces outils résultent des travaux de deux chercheurs en sécurité informatique dénommés Orange Tsai et Meh Chang à la suite de leur présentation « Infiltrating Corporate Intranet Like NSA » [2] à la Black Hat USA 2019 du 1er août dernier.

Les chercheurs ont travaillé sur une thématique bien précise : le VPN SSL.
Cet outil est utilisé pour fournir aux collaborateurs un accès à distance sécurisé aux ressources internes de l’entreprise. Cependant, son implémentation de la part des éditeurs peut comporter des failles et ainsi être exploitée par un attaquant, ce qui vient d'arriver pour les éditeurs Fortinet [3] et Pulse Secure [4].

Une fois l'attaque réussie, il est alors possible d'obtenir un accès direct sur le réseau local de l’entreprise et donc d’accéder aux serveurs, applications... et ainsi lancer diverses actions malveillantes (installation d’un ransomware, minage de crypto-monnaies, vols de données…).

De nombreux acteurs comme Facebook, Twitter, la CIA mais également des structures françaises comme Carrefour, le Crédit Agricole… au même titre que des PME-TPE utilisent le VPN SSL.

Fortinet ainsi que Pulse Secure ont été informés et ont fourni des correctifs. Mais les avez vous appliqués ??
Si ce n'est pas le cas, vous êtes certainement vulnérables !

Des outils d'exploitation sont publiquement disponibles pour les failles CVE-2018-13379 [5] et CVE-2018-13382 [6] qui touchent l’éditeur Fortinet ainsi que les failles CVE-2019-11510 [7] et CVE-2019-11539 [8] qui concernent l’éditeur Pulse Secure, il est donc urgent d'agir.

Pour illustrer cet article, nous avons utilisé l'Exploit de la CVE-2018-13379 qui concerne l’éditeur Fortinet et voici le résultat.

Après avoir importé l’exploit, nous démarrons l'outils Metasploit [9]:

Pour exploiter la vulnérabilité, il faut renseigner l’adresse IP ainsi que le port du portail VPN SSL. Après quelques recherches sur Shodan [10] , nous trouvons très rapidement des équipements Fortinet vulnérables avec leurs adresses IP mais également le port du portail VPN SSL.

Il ne reste plus qu’à les renseigner et lancer l’exploit :

Lançons l’exploit :

En rouge nous retrouvons le login et password afin de se connecter au portail VPN SSL et en orange pas mal d’informations personnelles sur la cible (groupe utilisateurs, nom de la société…).

Et si nous testons les identifiants :

Nous avons bien accès aux ressources internes !

Recommandations :
- Mettez à jour régulièrement vos équipements (Pare-feux, Serveurs Web, Systèmes d’exploitation...)
- Utilisez un système à double-facteurs pour les accès sensibles (TOTP par exemple)
- Lancer des scan de vulnérabilités régulièrement afin de vérifier votre surface d'attaque (avec F-Secure RADAR par exemple [11])
- Faites confiance à un produit qualifié par l’ANSSI (cf. Pare-feux Stormshield [12]):

Il faut bien dissocier la qualification de la certification qui sont 2 choses très différentes :

Les étapes 3 et 4 du processus de qualification auraient sûrement évité aux éditeurs Pulse Secure et Fortinet la découverte de telles vulnérabilités critiques.

Sources :
[1] https://www.exploit-db.com/
[2] https://i.blackhat.com/USA-19/Wednesday/us-19-Tsai-Infiltrating-Corporate-Intranet-Like-NSA.pdf
[3] https://fortiguard.com/psirt/FG-IR-18-384
[4] https://kb.pulsesecure.net/articles/PulseSecurityAdvisories/SA44101
[5] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-13379
[6] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-13382
[7] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11510
[8] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11539
[9] https://www.metasploit.com/
[10] https://www.shodan.io/
[11] https://securite.groupe-exer.fr/radar-336.html
[12] https://www.stormshield.com/fr/la-qualification-des-pare-feux-un-signal-fort-envoye-par-lanssi/