← Retour au portfolio

Chronique d'un Samedi au Data Center : Le Hack du FortiSIEM

Par Oumar Ali Guedi – Retour d'expérience "War Story"

Édition du GRUB FortiSIEM

🚀 Introduction : Le "Oups" Critique

On connait tous cet adage en informatique : "Le problème se situe souvent entre la chaise et le clavier." Ce week-end, j'en ai eu la preuve flagrante.

Je travaille actuellement sur une refonte majeure d'infrastructure réseaux (plus d'une centaine d'équipements). Arrivé devant la pièce maîtresse, un FortiSIEM 2200G physique, le trou de mémoire : impossible de retrouver le mot de passe root. Pas de snapshot VM possible ici, c'est du "Bare Metal". J'ai donc dû sacrifier mon samedi pour une opération "Incursion Physique".

⚠️ Avertissement : La procédure ci-dessous implique la modification des paramètres de démarrage (GRUB). Elle doit être effectuée uniquement sur du matériel dont vous êtes le propriétaire ou l'administrateur légitime. Une mauvaise manipulation peut empêcher le système de démarrer.

🏴‍☠️ 1. L'Interception du Démarrage (GRUB)

La première étape consiste à interrompre le chargement standard de l'OS (Rocky Linux v7.x) pour nous donner un accès shell avant que les restrictions de sécurité ne s'appliquent.

Au démarrage du serveur, il faut être rapide et appuyer sur la touche 'e' dans le menu de boot. Cela ouvre l'éditeur GRUB.

L'objectif est de trouver la ligne commençant par linux (ou linux16) et d'injecter notre porte dérobée.

# Trouver la ligne linux et ajouter à la fin :
linux ... console=ttyS1 ... rd.break enforcing=0
# Astuce : Si vous êtes sur écran VGA, retirez "console=ttyS1" pour éviter l'écran noir !

Une fois modifié, on lance le boot avec Ctrl + X.

💻 2. Le Shell d'Urgence et le Montage

Le système démarre et s'arrête brutalement sur un shell minimaliste appelé switch_root. À ce stade, nous sommes root, mais le disque dur est monté en Lecture Seule (Read-Only). Impossible de changer le mot de passe tel quel.

Voici la séquence de commandes pour reprendre la main :

# 1. Remonter le système de fichiers en Lecture/Écriture
mount -o rw,remount /sysroot

# 2. Changer la racine pour entrer dans le "vrai" système
chroot /sysroot

🛡️ 3. La Leçon de Sécurité (Même le Samedi)

C'est ici que l'anecdote devient amusante. Dans la précipitation pour débloquer la situation, j'ai tenté de définir un mot de passe "temporaire" un peu trop simple...

Le FortiSIEM m'a immédiatement rappelé à l'ordre. Même en mode récupération d'urgence, les politiques de sécurité PAM sont actives !

passwd root
Changing password for user root.
BAD PASSWORD: The password contains less than 1 uppercase letter

Il a fallu que je respecte la complexité (Majuscules + Chiffres + Caractères spéciaux) pour que le système accepte enfin mon nouveau sésame.

✅ 4. La Libération

Une fois le token d'authentification mis à jour, il reste une étape cruciale si SELinux est activé (ce qui est le cas ici) : forcer le réétiquetage des fichiers au prochain démarrage.

touch /.autorelabel
exit
reboot -f

Le redémarrage est un peu plus long que d'habitude (le temps que SELinux fasse son travail), mais le résultat est là, l'accès Root est rétabli.

📝 Conclusion

Cette mésaventure m'a rappelé deux fondamentaux de notre métier :

  • La Documentation est reine : Un gestionnaire de mots de passe n'est pas une option, c'est une obligation vitale, même pour les configurations temporaires.
  • Linux est le socle : Peu importe la sophistication des outils Cyber (SIEM, EDR, SOAR), en dessous, ça reste souvent du Linux. Maîtriser le GRUB et le Shell est une compétence de survie indispensable pour tout Admin Sys ou Expert Cyber.

Le FortiSIEM est désormais configuré et sécurisé. Quant à moi, j'ai bien mérité mon café ! ☕

Discuter de ce projet Voir d'autres projets