Fortinet met en garde contre deux nouveaux contournements de correctifs non corrigés pour une vulnérabilité critique d’exécution de code à distance dans FortiSIEM, la solution SIEM de Fortinet.
Fortinet a ajouté les deux nouvelles vulnérabilités suivies comme CVE-2024-23108 et CVE-2024-23109 à l’avis initial pour la faille CVE-2023-34992 dans une mise à jour très déroutante.
Plus tôt dans la journée, Breachtrace a publié un article selon lequel les CVE ont été publiés par erreur après que Fortinet leur ait dit qu’ils étaient des doublons de l’original CVE-2023-34992.
« Dans ce cas, en raison d’un problème avec l’API sur lequel nous enquêtons actuellement, plutôt que d’une modification, cela a entraîné la création de deux nouveaux CVE, des doublons du CVE-2023-34992 d’origine », a déclaré Fortinet à Breachtrace .
« Il n’y a pas de nouvelle vulnérabilité publiée pour FortiSIEM jusqu’à présent en 2024, il s’agit d’une erreur au niveau du système et nous travaillons à rectifier et à retirer les entrées erronées. »
Cependant, il s’avère que CVE-2024-23108 et CVE-2024-23109 sont en fait des contournements de correctifs pour la faille CVE-2023-34992 découverte par l’expert en vulnérabilités Horizon3 Zach Hanley.
Sur X, Zach a déclaré que les nouveaux CVE sont des contournements de correctifs pour CVE-2023-34992, et que les nouveaux IDENTIFIANTS lui ont été attribués par Fortinet.
Après avoir contacté à nouveau Fortinet, on nous a dit que leur déclaration précédente était “erronée” et que les deux nouveaux CVE sont des variantes de la faille d’origine.
« L’équipe PSIRT a suivi son processus pour ajouter deux variantes similaires du précédent CVE (CVE-2023-34992), suivies comme CVE-2024-23108 et CVE-2024-23109 à notre avis public FG-IR-23-130, qui a été publié en octobre 2023. Les deux nouveaux CVE partagent exactement la même description et le même score que le premier; en parallèle, nous avons mis à jour MITRE. Un rappel pointant vers l’Avis mis à jour sera inclus pour nos clients mardi lorsque Fortinet publiera son avis mensuel. »- Fortinet.
Ces deux nouvelles variantes ont la même description que la faille d’origine, permettant aux attaquants non authentifiés d’exécuter des commandes via des requêtes API spécialement conçues.
« La neutralisation incorrecte multiple d’éléments spéciaux utilisés dans une vulnérabilité de commande de système d’exploitation [CWE-78] dans FortiSIEM supervisor peut permettre à un attaquant distant non authentifié d’exécuter des commandes non autorisées via des requêtes API contrefaites », indique l’avis.
Alors que la faille d’origine, CVE-2023-34992, a été corrigée dans une version précédente de FortiSIEM, les nouvelles variantes seront corrigées ou ont été corrigées dans les versions suivantes:
- Fortissimo version 7.1.2 ou supérieure
- Prochaine version de Fortissimo 7.2.0 ou supérieure
- Prochaine version de Fortissimo 7.0.3 ou supérieure
- FortiSIEM à venir version 6.7.9 ou supérieure
- FortiSIEM à venir version 6.6.5 ou supérieure
- FortiSIEM à venir version 6.5.3 ou supérieure
- Prochaine version de Fortissimo 6.4.4 ou supérieure
Comme il s’agit d’un défaut critique, il est fortement conseillé de passer à l’une des versions Fortissimo ci-dessus dès qu’elles seront disponibles.
Les failles Fortinet sont généralement ciblées par les acteurs de la menace, y compris les gangs de ransomwares, qui les utilisent pour accéder initialement aux réseaux d’entreprise, il est donc crucial de les corriger rapidement.
Breachtrace a demandé à Fortinet quand les autres versions seront publiées et mettra à jour cette histoire lorsque nous recevrons une réponse.