Aujourd’hui, CISA a révélé que les attaquants exploitent activement une vulnérabilité critique d’exécution de code à distance FortiOS (RCE) dans la nature.
La faille (CVE-2024-23113) est causée par le démon fgfmd acceptant une chaîne de format contrôlée en externe comme argument, ce qui peut permettre aux acteurs de la menace non authentifiés d’exécuter des commandes ou du code arbitraire sur des périphériques non corrigés dans des attaques de faible complexité qui ne nécessitent aucune interaction de l’utilisateur.
Comme l’explique Fortinet, le démon vulnérable fgfmd s’exécute sur FortiGate et FortiManager, gérant toutes les demandes d’authentification et gérant les messages de maintien en vie entre eux (ainsi que toutes les actions qui en résultent, comme demander à d’autres processus de mettre à jour des fichiers ou des bases de données).
CVE-2024-23113 affecte FortiOS 7.0 et versions ultérieures, FortiPAM 1.0 et versions ultérieures, FortiProxy 7.0 et versions ultérieures, et FortiWeb 7.4.
La société a révélé et corrigé cette faille de sécurité en février lorsqu’elle a conseillé aux administrateurs de supprimer l’accès au fgfmd damon pour toutes les interfaces en tant que mesure d’atténuation conçue pour bloquer les attaques potentielles.
« Notez que cela empêchera FortiGate discovery de FortiManager. La connexion sera toujours possible depuis FortiGate », a déclaré Fortinet.
« Veuillez également noter qu’une stratégie d’entrée locale qui autorise uniquement les connexions FGFM à partir d’une adresse IP spécifique réduira la surface d’attaque mais n’empêchera pas l’exploitation de la vulnérabilité à partir de cette adresse IP. Par conséquent, cela devrait être utilisé comme une mesure d’atténuation et non comme une solution de contournement complète. »
Les agences fédérales ont reçu l’ordre de patcher dans les trois semaines
Alors que Fortinet n’a pas encore mis à jour son avis de février pour confirmer l’exploitation de CVE-2024-23113, CISA a ajouté la vulnérabilité à son Catalogue de vulnérabilités exploitées connues mercredi.
Les agences fédérales américaines sont désormais également tenues de sécuriser les appareils FortiOS sur leurs réseaux contre ces attaques en cours dans un délai de trois semaines, d’ici le 30 octobre, comme l’exige la directive opérationnelle contraignante (BOD 22-01) publiée en novembre 2021.
« Ces types de vulnérabilités sont des vecteurs d’attaque fréquents pour les cyberacteurs malveillants et présentent des risques importants pour l’entreprise fédérale », a averti l’agence de cybersécurité.
Le Service de renseignement et de sécurité militaire néerlandais (MIVD) a averti en juin que des pirates informatiques chinois avaient exploité une autre vulnérabilité critique FortiOS RCE (CVE-2022-42475) entre 2022 et 2023 pour pirater et infecter au moins 20 000 appliances de sécurité réseau Fortigate avec des logiciels malveillants.