Les serveurs VPN (Fortigate, Pulse Secure, Palo Alto, etc.) sont une cible de choix pour les attaquants. Et pour cause : ils donnent un accès privilégié au réseau des entreprises, et sont souvent exempts de contrôles par des antivirus ou des EDR. Nous présentons ici un moyen d’obtenir une exécution de commande pré-authentification sur les VPN Fortigate, grâce à une vulnérabilité originale, nommée XORtigate.
Lors d’un audit Red Team, les équipes de LEXFO ont été confrontées à une surface d’attaque particulièrement réduite. Seule cible possible : un VPN Fortigate, à jour, sans vulnérabilité publique. Armés de temps, nous commençons l’audit de l’application, avec le but de découvrir un 0-day, et de prendre le contrôle du VPN.
1. Reconnaissance et choix de la cible
1.1 Une cible unique
Début 2023, nos équipes commencent une mission de type Red Team pour l’un de nos clients. La phase de reconnaissance initiale nous inquiète rapidement : cette nouvelle entreprise, de relativement petite taille, présente une faible surface d’attaque externe. Leurs serveurs sont à jour, comme leurs applications, et l’audit semble tout de suite mal engagé. Armés cependant de temps, nous décidons de nous intéresser à une cible de choix : leur VPN, de marque Fortigate. C’est certes une cible difficile (il faudra trouver une vulnérabilité 0-day,...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première