Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention descorrectifs (cf. section Documentation).

L'application seule des correctifs n'est pas suffisante. En effet, si unattaquant a exploité la vulnérabilité avant leur application, il a pudéposer une porte dérobée qui lui permettra de se connecterultérieurement au système. A titre d'exemple, les codes d’exploitationobservés jusqu'ici déposent une clé publique SSH.

D'autres méthodes d'attaques, permettant, entre autres, des fuites dedonnées ou une exécution de code arbitraire, ne sont pas à exclure.

Les tentatives d'exploitation liées à ces codes publics peuvent êtredétectées en vérifiant, dans les journaux de l'équipement, la présenced'un "User-Agent" égal à "Report Runner"ou "Node.js", ainsi que la présence du motif "127.0.0.1" dans lechamp "Forwarded".

Ces marqueurs préliminaires sont fournis à titre indicatif et ne sontpas exhaustifs.

Contournement provisoire

Dans son avis de sécurité (cf. section Documentation), Fortinet détaillela procédure pour désactiver l'interface d’administration ou restreindreson accès à des adresses ip de confiance.