Fortinet alerte ses clients d’une vulnérabilité critique d’injection de commandes du système d’exploitation dans le serveur de rapports FortiSIEM qui pourrait être exploitée par des attaquants distants non authentifiés pour exécuter des commandes via des requêtes API spécialement conçues.
FortiSIEM (Security Information and Event Management) est une solution complète de cybersécurité qui offre aux organisations une visibilité améliorée et un contrôle granulaire sur leur posture de sécurité.
Il est utilisé dans les entreprises de toutes tailles dans les secteurs de la santé, de la finance, de la vente au détail, du commerce électronique, du gouvernement et du secteur public.
Variante d’une autre injection de commande du système d’exploitation
Désormais identifiée comme CVE-2023-36553, l’équipe de sécurité des produits de Fortinet a découvert la faille plus tôt cette semaine et lui a attribué un score de gravité critique de 9,3. Cependant, le National Institute of Standards and Technology (NIST) des États-Unis a calculé un score de gravité de 9,8.
« Une neutralisation inappropriée des éléments spéciaux utilisés dans une vulnérabilité de commande du système d’exploitation [CWE-78] dans le serveur de rapports FortiSIEM peut permettre à un attaquant distant non authentifié d’exécuter des commandes non autorisées via des requêtes API contrefaites. » -Fortinet
Les chercheurs affirment que CVE-2023-36553 est une variante d’un autre problème de sécurité de gravité critique identifié comme CVE-2023-34992 et résolu début octobre.
Des problèmes de neutralisation inappropriés surviennent lorsque le logiciel ne parvient pas à nettoyer les entrées, telles que les caractères spéciaux ou les éléments de contrôle, avant qu’elles ne soient transmises via une commande acceptée du système d’exploitation transmise à un interprète.
Dans ce cas, le programme prend les requêtes API et les transmet au système d’exploitation sous forme de commande à exécuter, conduisant à des scénarios dangereux tels qu’un accès, une modification ou une suppression non autorisé aux données.
Les versions concernées incluent les versions FortiSIEM 4.7 à 5.4. Fortinet exhorte les administrateurs système à passer aux versions 6.4.3, 6.5.2, 6.6.4, 6.7.6, 7.0.1 ou 7.1.0 et versions ultérieures.
Des cibles attractives
Les produits Fortinet incluent des pare-feu, des systèmes de sécurité des points finaux et de détection d’intrusion. Ceux-ci sont souvent ciblés par des groupes de piratage sophistiqués soutenus par l’État, pour accéder au réseau d’une organisation.
En 2023, divers rapports de cybersécurité ont confirmé des bugs dans les produits Fortinet exploités par des pirates informatiques iraniens pour attaquer des entreprises aéronautiques américaines et des clusters de cyberespionnage chinois [1, 2].
De plus, il y a eu des cas où des pirates ont exploité des vulnérabilités zero-day dans les produits Fortinet pour pirater les réseaux gouvernementaux, découvertes après une rétro-ingénierie minutieuse des composants spécifiques du système d’exploitation FortiGate.