Vulnérabilité DUHK (Don't Use Hard-coded Keys) identifiée sur les versions 4.3 de FortiOS

L’implémentation de l’ANSI x9.31 sur les versions 4.3 de FortiOS, pilotant les produits FortiGate de Fortinet, peut permettre aux attaquants d’obtenir un accès non-autorisé en lecture aux données gérées par l’appareil et ce via le déchiffrement du trafic IPSec/TLS.

Pour rappel, l’algorithme ANSI x9.31 RNG (Random Number Generator) est utilisé pour générer des clés de chiffrement pour sécuriser l’accès aux VPNs et aux sessions de navigation WEB. Cet algorithme n’est plus supporté par le FIPS depuis Janvier 2016.

Cette vulnérabilité, intitulée DUHK (Don't Use Hard-coded Keys), est due à l'utilisation d'une clé statique partagée dans tous les produits FortiOS 4.3. Cette clé est ensuite utilisée pour générer les clés des sessions IPSec/TLS.

L'exploitation de cette vulnérabilité permet un accès et un déchiffrement sur toutes les communications sécurisées telles que des connections VPN ou Web. Les données impactées peuvent inclure des données sensibles sur l’entreprise, des identifiants, des données de cartes de crédit et d’autres informations confidentielles.

Informations
+

Impact

  • Atteinte à la confidentialité des données
  • Atteinte à l'intégrité des données

Criticité

  • CVSS v3 : 5.9

Existence d’un code d’exploitation de la vulnérabilité

Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour

Composants & versions vulnérables

  • Fortinet FortiOs depuis la version 4.3.0 jusqu’à 4.3.18

CVE

  • CVE-2016-8492

Recommandations
+

Correctif

Les utilisateurs des produits affectés sont invités à mettre à jour leurs systèmes vers FortiOS 4.3.19, 5.0 ou plus.

Solution de contournement

Il n’existe pas actuellement de solution de contournement.