Fortinet a publié de nouvelles mises à jour du micrologiciel Fortigate qui corrigent une vulnérabilité critique d’exécution de code à distance de pré-authentification non divulguée dans les appareils VPN SSL.
Les correctifs de sécurité ont été publiés vendredi dans les versions 6.0.17, 6.2.15, 6.4.13, 7.0.12 et 7.2.5 du micrologiciel FortiOS.
Bien que cela ne soit pas mentionné dans les notes de publication, les professionnels de la sécurité et les administrateurs ont laissé entendre que les mises à jour corrigeaient discrètement une vulnérabilité SSL-VPN RCE critique qui serait divulguée le mardi 13 juin 2023.
« La faille permettrait à un agent hostile d’interférer via le VPN, même si le MFA est activé », lit-on dans un avis de la société française de cybersécurité Olympe Cyberdefense.
« A ce jour, toutes les versions seraient concernées, nous attendons la sortie du CVE le 13 juin 2023 pour confirmer cette information. »
Fortinet est connu pour déployer des correctifs de sécurité avant de divulguer des vulnérabilités critiques afin de donner aux clients le temps de mettre à jour leurs appareils avant que les pirates n’effectuent une ingénierie inverse des correctifs.
Aujourd’hui, des informations supplémentaires ont été divulguées par le chercheur sur les vulnérabilités de Lexfo Security, Charles Fol, qui a déclaré à Breachtrace que les nouvelles mises à jour de FortiOS incluent un correctif pour une vulnérabilité RCE critique découverte par lui et Rioru.
« Fortinet a publié un correctif pour CVE-2023-27997, la vulnérabilité d’exécution de code à distance @DDXhunter et moi l’avons signalé », lit-on dans un tweet de Fol.
« Il s’agit d’une pré-authentification accessible sur chaque appliance VPN SSL. Corrigez votre Fortigate. Détails ultérieurement. #xortigate. »
Fol a confirmé à Breachtrace que cela devrait être considéré comme un correctif urgent pour les administrateurs Fortinet car il est susceptible d’être rapidement analysé et découvert par les acteurs de la menace.
Les appareils Fortinet font partie des pare-feux et VPN les plus populaires sur le marché, ce qui en fait une cible populaire pour les attaques.
Selon une recherche Shodan, plus de 250 000 pare-feu Fortigate sont accessibles depuis Internet, et comme ce bogue affecte toutes les versions précédentes, la majorité est probablement exposée.
Dans le passé, les failles SSL-VPN ont été exploitées par des acteurs malveillants quelques jours seulement après la publication des correctifs, couramment utilisés pour obtenir un accès initial aux réseaux afin de mener des attaques de vol de données et de ransomware.
Par conséquent, les administrateurs doivent appliquer les mises à jour de sécurité Fortinet dès qu’elles sont disponibles.
Breachtrace a contacté Fortinet pour en savoir plus sur les mises à jour, mais aucune réponse n’était disponible dans l’immédiat.