Fortinet affirme qu’une vulnérabilité critique du VPN SSL FortiOS qui a été corrigée la semaine dernière « peut avoir été exploitée » dans des attaques touchant le gouvernement, la fabrication et les organisations d’infrastructures critiques.
La faille (suivie en tant que CVE-2023-27997 / FG-IR-23-097) est une faiblesse de dépassement de mémoire tampon basée sur le tas dans FortiOS et FortiProxy SSL-VPN qui peut permettre à des attaquants non authentifiés d’obtenir l’exécution de code à distance (RCE) via des requêtes conçues de manière malveillante. .
CVE-2023-27997 a été découvert lors d’un audit de code du module SSL-VPN à la suite d’une autre série d’attaques récentes contre des organisations gouvernementales exploitant le CVE-2022-42475 FortiOS SSL-VPN zero-day.
Vendredi, Fortinet a publié des mises à jour de sécurité pour corriger la vulnérabilité avant de divulguer des détails supplémentaires aujourd’hui.
Ce n’est pas la première fois que l’entreprise propose des correctifs avant de divulguer des vulnérabilités critiques pour donner aux clients le temps de sécuriser leurs appareils avant que les acteurs de la menace ne les inversent pour créer des exploits.
« Notre enquête a révélé qu’un problème (FG-IR-23-097) peut avoir été exploité dans un nombre limité de cas et nous travaillons en étroite collaboration avec nos clients pour surveiller la situation », a déclaré Fortinet dans un rapport publié lundi.
« Pour cette raison, si le client a activé SSL-VPN, Fortinet conseille aux clients de prendre des mesures immédiates pour mettre à niveau vers la version la plus récente du micrologiciel.
« Si le client n’utilise pas SSL-VPN, le risque de ce problème est atténué – cependant, Fortinet recommande toujours la mise à niveau. »
Plus de 250 000 pare-feu Fortigate sont exposés sur Internet, selon Shodan, et il est fort probable qu’un nombre important soit également actuellement vulnérable aux attaques étant donné que ce bogue affecte toutes les versions antérieures du firmware.
Connexions Volt Typhoon
Bien qu’il n’ait fait aucun lien avec les attaques Volt Typhoon récemment divulguées ciblant des organisations d’infrastructures critiques à travers les États-Unis, Fortinet a mentionné la possibilité que le groupe de cyberespionnage chinois puisse également cibler la faille CVE-2023-27997.
« Pour le moment, nous ne lions pas FG-IR-23-097 à la campagne Volt Typhoon, mais Fortinet s’attend à ce que tous les acteurs de la menace, y compris ceux à l’origine de la campagne Volt Typhoon, continuent d’exploiter les vulnérabilités non corrigées dans les logiciels et appareils largement utilisés », a déclaré la société.
« Pour cette raison, Fortinet demande instamment une atténuation immédiate et continue grâce à une campagne de correctifs agressive. »
Volt Typhoon est connu pour avoir piraté les appareils Fortinet FortiGuard exposés à Internet via une vulnérabilité zero-day inconnue afin d’accéder aux réseaux d’organisations dans un large éventail de secteurs critiques.
Les acteurs de la menace utilisent également des routeurs, des pare-feu et des appliances VPN compromis de plusieurs fournisseurs pour échapper à la détection en s’assurant que leur activité malveillante se mélange au trafic réseau légitime.
Fortinet a déclaré aujourd’hui qu’il ciblait principalement les appareils non corrigés contre CVE-2022-40684, une vulnérabilité de contournement d’authentification dans les appareils FortiOS / FortiProxy / FortiSwitchManager, pour l’accès initial.
Cependant, comme mentionné précédemment, les acteurs de la menace devraient également commencer à exploiter de nouvelles vulnérabilités, au fur et à mesure qu’elles sont divulguées.