La société de solutions de cybersécurité Fortinet a mis à jour sa solution d’accès zéro confiance FortiNAC pour résoudre une vulnérabilité de gravité critique que les attaquants pourraient exploiter pour exécuter du code et des commandes.
FortiNAC permet aux organisations de gérer les politiques d’accès à l’échelle du réseau, d’obtenir une visibilité sur les appareils et les utilisateurs et de sécuriser le réseau contre les accès non autorisés et les menaces.
Le problème de sécurité est suivi comme CVE-2023-33299 et a reçu un score de gravité critique de 9,6 sur 10. Il s’agit d’une désérialisation de données non fiables pouvant conduire à l’exécution de code à distance (RCE) sans authentification.
« Une désérialisation de la vulnérabilité des données non fiables [CWE-502] dans FortiNAC peut permettre à un utilisateur non authentifié d’exécuter du code ou des commandes non autorisés via des requêtes spécialement conçues au service TCP/1050 » – Fortinet
Les produits impactés par cette faille sont :
- FortiNAC version 9.4.0 through 9.4.2
- FortiNAC version 9.2.0 through 9.2.7
- FortiNAC version 9.1.0 through 9.1.9
- FortiNAC version 7.2.0 through 7.2.1
- FortiNAC 8.8, all versions
- FortiNAC 8.7, all versions
- FortiNAC 8.6, all versions
- FortiNAC 8.5, all versions
- FortiNAC 8.3, all versions
Les versions recommandées pour la mise à niveau afin de faire face au risque lié à la vulnérabilité sont :
- FortiNAC 9.4.3 or above
- FortiNAC 9.2.8 or above
- FortiNAC 9.1.10 or above
- FortiNAC 7.2.2 or above
Le fournisseur n’a fourni aucun conseil d’atténuation, l’action recommandée consiste donc à appliquer les mises à jour de sécurité disponibles.
CVE-2023-33299 a été découvert par Florian Hauser de la société Code White qui fournit une équipe rouge, des tests de pénétration et des services de renseignement sur les menaces.
Parallèlement au RCE critique, Fortinet a également annoncé aujourd’hui avoir corrigé une vulnérabilité de gravité moyenne identifiée comme CVE-2023-33300 – un problème de contrôle d’accès inapproprié affectant FortiNAC 9.4.0 à 9.4.3 et FortiNAC 7.2.0 à 7.2.1.
« Une neutralisation inappropriée d’éléments spéciaux utilisés dans une vulnérabilité de commande (« injection de commande ») [CWE-77] dans le service FortiNAC TCP/5555 peut permettre à un attaquant non authentifié de copier des fichiers locaux de l’appareil vers d’autres répertoires locaux de l’appareil via des champs de saisie spécialement conçus » – Fortinet
La gravité inférieure est donnée par le fait que CVE-2023-33300 peut être exploité localement par un attaquant avec des privilèges suffisamment élevés pour accéder aux données copiées.
Mettre à jour sans tarder
En raison du niveau d’accès et de contrôle sur le réseau, les produits Fortinet sont particulièrement attractifs pour les pirates. Au cours des dernières années, les appareils Fortinet ont représenté une cible pour divers acteurs de la menace, qui ont violé les organisations avec des exploits zero-day et en frappant des appareils non corrigés.
Un exemple récent est CVE-2022-39952, un RCE critique impactant FortiNAC qui a reçu un correctif à la mi-février, mais les pirates ont commencé à l’utiliser dans des attaques quelques jours plus tard, après la publication du code de preuve de concept.
En janvier, Fortinet a averti que des pirates avaient exploité une vulnérabilité dans FortiOS SSL-VPN (CVE-2022-42475) lors d’attaques contre des organisations gouvernementales avant qu’un correctif ne soit disponible.
L’année dernière, en octobre, la société a exhorté les clients à corriger les appareils contre un contournement d’authentification critique dans FortiOS, FortiProxy et FortiSwitchManager (CVE-2022-40684) parce que les pirates ont commencé à l’exploiter.