Sur les trois dernières années, le nombre de vulnérabilités critiques affectant les équipements réseau a fortement augmenté. Pare-feux, routeurs et autres appliances de sécurité sont régulièrement ciblés par des attaques exploitant des failles dans la couche logicielle.
Qu’elles soient lancées par des IAB (Initial Access Broker), groupes cybercriminels dont le modèle économique repose sur la vente d’accès initiaux permettant de s’introduire sur des infrastructures partout dans le monde, ou encore de groupes étatiques, cette situation pose un problème majeur : de nombreuses entreprises et institutions continuent d’exposer des équipements vulnérables sur internet, parfois plusieurs mois après la publication d’un correctif. L’observation de trois failles avec un haut niveau de sévérité touchant les équipements des marques Cisco, Palo Alto et Fortinet confirme cette tendance.
Grâce à notre plateforme d’analyse de la surface d’attaque ONYPHE, nous avons pu monitorer dans le temps les actions entreprises pour corriger ces vulnérabilités.
Ce bulletin présente l’état actuel de ces trois vulnérabilités majeures et les recommandations pour limiter leur impact.
Faille Cisco CVE-2023-20198 – 16 octobre 2023
Selon un avis de sécurité publié par Cisco le 16 octobre 2023, une vulnérabilité critique, identifiée comme CVE-2023-20198, affecte l’interface web de gestion des équipements fonctionnant sous IOS XE, le système d’exploitation des routeurs et commutateurs de la marque Cisco.
Cette faille permet à un attaquant non authentifié de créer un compte avec des privilèges de niveau 15 sur l’appareil, équivalant à celui d’un accès administrateur. Une fois ce niveau d’accès obtenu, l’attaquant peut exécuter des commandes arbitraires, compromettant ainsi l’intégrité et la sécurité de l’ensemble du réseau.
Malgré la publication de correctifs par Cisco, au 18 février 2025, un nombre significatif d’équipements reste vulnérable au niveau mondial :
- 22 484 équipements compromis au niveau mondial
- 42 561 équipements encore vulnérables au niveau mondial
- 125 équipements compromis en France
- 327 équipements vulnérables en France
Lors de la divulgation de la faille, près de 80 000 équipements étaient exposés, dont près de 60 000 compromis en l’espace d’un week-end.
Une persistance de la vulnérabilité qui s’explique par la complexité de la mise à jour des équipements de routage. Ces dispositifs gèrent des volumes de trafic à grande échelle, et une mise à jour mal exécutée peut entraîner des interruptions de service majeures.
Par conséquent, les opérateurs hésitent à appliquer immédiatement les correctifs, préférant souvent retarder les mises à jour pour éviter des perturbations potentielles. Une approche conservatrice qui laisse malheureusement une fenêtre d’opportunité aux attaquants pour exploiter la faille.
Faille Palo Alto CVE-2024-3400 – 12 avril 2024
Le 12 avril 2024, Palo Alto Networks a publié un avis de sécurité concernant une vulnérabilité critique identifiée comme CVE-2024-3400. Cette faille affecte la fonctionnalité GlobalProtect de PAN-OS, le système d’exploitation des pare-feux Palo Alto Networks. Elle permet à un attaquant non authentifié d’exécuter du code arbitraire avec des privilèges root sur le pare-feu, compromettant ainsi la sécurité de l’appareil et du réseau associé. Les services Cloud NGFW, Panorama et Prisma Access ne sont pas impactés par cette vulnérabilité.
Dès la découverte de cette vulnérabilité, Palo Alto Networks a réagi promptement en publiant des correctifs pour les versions affectées de PAN-OS. Cette réactivité a permis une réduction rapide du nombre d’équipements vulnérables comme nous le décrivons ci-dessous :
- 15 avril 2024 : 39 307 équipements vulnérables (986 en France)
- 22 avril 2024 : 10 024 équipements vulnérables (179 en France)
- 18 février 2025 : 860 équipements vulnérables (15 en France)
Une baisse drastique qui s’explique par la simplicité de mise à jour et de remplacement des pare-feux. Contrairement aux routeurs, ces équipements peuvent être corrigés sans impact majeur sur le réseau, permettant une intervention rapide des administrateurs.
Faille Fortinet CVE-2024-55591 – 14 janvier 2025
Le 14 janvier 2025, Fortinet a publié un avis de sécurité concernant une vulnérabilité critique, identifiée comme CVE-2024-55591, affectant ses produits FortiOS et FortiProxy. Cette faille permet à un attaquant distant non authentifié de contourner les mécanismes d’authentification en envoyant des requêtes au module WebSocket de Node.js, lui octroyant ainsi des privilèges de super-administrateur sur les systèmes compromis.
Malgré la disponibilité de correctifs, au 18 février 2025, un nombre important d’équipements demeure vulnérable :
- 48 628 équipements vulnérables dans le monde
- 895 en France
Que faire face à ces CVE ?
Les vulnérabilités affectant les équipements réseau posent un défi particulier. Lorsqu’un pare-feu ou un routeur est compromis, c’est l’ensemble du trafic qui peut être intercepté ou modifié. Plusieurs approches permettent de limiter ces risques.
Appliquer les correctifs disponibles
Mettre à jour les équipements dès qu’un correctif est publié reste la solution la plus efficace pour éviter l’exploitation d’une vulnérabilité connue. Toutefois, dans certains environnements critiques, les mises à jour ne peuvent pas être appliquées immédiatement. Elles nécessitent souvent des tests pour s’assurer qu’elles ne perturbent pas le fonctionnement du réseau. Cette contrainte peut retarder leur déploiement, laissant des équipements vulnérables pendant une période prolongée.
Remplacer l’équipement lorsque nécessaire
Lorsque l’application d’un correctif est trop complexe ou impossible, le remplacement du matériel par un modèle plus récent ou non affecté peut être une alternative. Cette approche est plus courante pour les pare-feux, qui sont souvent déployés en redondance et peuvent être changés sans impact sur l’infrastructure. En revanche, remplacer un routeur peut être plus difficile, car ces équipements sont généralement intégrés à des réseaux de grande envergure et leur remplacement demande une planification plus importante.
Mettre en place une double barrière de sécurité
L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) recommande une approche basée sur l’utilisation de deux pare-feux de marques différentes afin de limiter l’impact d’une vulnérabilité sur un équipement spécifique.
Ainsi même si l’un des équipements est victime d’une CVE, le second reste néanmoins actif et applique les règles de filtrage.
Cette stratégie limite les risques en cas de compromission d’un des pare-feux. Toutefois, elle implique un coût supplémentaire et une gestion plus complexe, ce qui peut être un obstacle pour les petites et moyennes entreprises.
Anticiper les exigences de la directive NIS 2
La directive NIS 2, qui renforce les obligations en matière de cybersécurité pour de nombreuses entreprises, impose une meilleure protection des infrastructures réseau. L’adoption de mesures comme la double barrière ou l’amélioration des processus de mise à jour devient une nécessité pour répondre à ces nouvelles exigences. Cette évolution réglementaire incite les organisations à structurer davantage leur gestion des vulnérabilités et à renforcer la sécurisation de leurs équipements réseau.
De plus, se doter d’une solution de gestion de la surface d’attaque telle qu’ONYPHE permet de se mettre en conformité et d’élever son niveau de résilience cyber.
L’essentiel
Les vulnérabilités réseau continuent de se multiplier, avec des exploits actifs ciblant les équipements critiques. Ce bulletin de situation d’ONYPHE met en évidence la difficulté à appliquer des correctifs sur certaines infrastructures, ce qui prolonge leur exploitation par des acteurs malveillants.
Si la mise à jour reste la meilleure solution, elle est parfois inapplicable dans des environnements critiques. L’adoption de stratégies comme la double barrière ou le remplacement d’équipements devient alors nécessaire pour limiter les risques. Face aux exigences croissantes de NIS 2, les organisations devront adapter leur gestion des vulnérabilités pour protéger efficacement leurs infrastructures réseau.
À propos de ONYPHE :
ONYPHE est une solution de gestion de la surface d’attaque, surveillant l’exposition des équipements vulnérables sur internet en analysant les adresses IP, les services accessibles, les URL et les indicateurs d’exploitation active.
Grâce à une collecte de données en temps réel sur plus de 300 millions de domaines et près de 500 millions d’adresses IP actives (IPv4 et IPv6 confondues), ONYPHE permet d’identifier les systèmes affectés, d’évaluer les risques portés par ces actifs et de suivre l’évolution des vulnérabilités exploitées.
Pour en savoir plus, découvrez-nous à l’adresse : https://www.onyphe.io/