Fortinet a révélé une faille de gravité critique affectant FortiOS et FortiProxy, permettant à un attaquant distant d’exécuter du code arbitraire sur des appareils vulnérables.
La faille, découverte par la société de cybersécurité Watchtowr, est identifiée comme CVE-2023-33308 et a reçu une note CVS v3 de 9,8 sur 10,0, la qualifiant de « critique ».
« Une vulnérabilité de débordement basée sur la pile [CWE-124] dans FortiOS et FortiProxy peut permettre à un attaquant distant d’exécuter un code ou une commande arbitraire via des paquets spécialement conçus atteignant des politiques de proxy ou des politiques de pare-feu avec mode proxy parallèlement à l’inspection approfondie des paquets SSL », prévient Fortinet dans un nouveau conseil.
Un débordement basé sur la pile est un problème de sécurité qui se produit lorsqu’un programme écrit plus de données dans un tampon situé sur la pile (région mémoire) que ce qui est alloué pour le tampon, ce qui entraîne un débordement de données vers des emplacements mémoire adjacents.
Un attaquant peut exploiter ces types de failles en envoyant une entrée spécialement conçue qui dépasse la capacité du tampon à écraser les paramètres de mémoire critiques liés aux fonctions, réalisant ainsi l’exécution de code malveillant.
La faille impacte les versions FortiOS suivantes :
- FortiOS version 7.2.0 through 7.2.3
- FortiOS version 7.0.0 through 7.0.10
- FortiProxy version 7.2.0 through 7.2.2
- FortiProxy version 7.0.0 through 7.0.9
Fortinet a précisé que le problème avait été résolu dans une version précédente sans avis correspondant, de sorte qu’il n’affecte pas la dernière version de la branche, FortiOS 7.4.
Les correctifs pour CVE-2023-33308 ont été fournis dans les versions suivantes :
- FortiOS version 7.2.4 or above
- FortiOS version 7.0.11 or above
- FortiProxy version 7.2.3 or above
- FortiProxy version 7.0.10 or above
L’avis Fortinet a précisé que les produits FortiOS des branches de version 6.0, 6.2, 6.4, 2.x et 1.x ne sont pas affectés par CVE-2023-33308.
La CISA a également publié une alerte sur la vulnérabilité, exhortant les organisations concernées à appliquer la mise à jour de sécurité disponible.
Si les administrateurs ne sont pas en mesure d’appliquer le nouveau micrologiciel immédiatement, Fortinet indique que vous pouvez désactiver la prise en charge HTTP/2 sur les profils d’inspection SSL utilisés par les politiques de proxy ou les politiques de pare-feu avec le mode proxy comme solution de contournement.
Fortinet a fourni l’exemple suivant d’un profil d’inspection approfondie personnalisé qui a désactivé la prise en charge de HTTP/2 :
Décalage du patch Fortinet
Une autre vulnérabilité de débordement de tampon FortiOS suivie comme CVE-2023-27997 a récemment mis en évidence le problème du décalage de patch.
La société de solutions de sécurité offensive Bishop Fox a signalé avoir trouvé 335 900 pare-feu FortiGate vulnérables exposés sur Internet, un mois entier après que le fournisseur a mis à disposition un correctif pour le bogue activement exploité.
Les auteurs de menaces sont toujours à la recherche de failles de gravité critique affectant les produits Fortinet, en particulier celles qui ne nécessitent aucune authentification pour être exploitées, car elles offrent un moyen simple d’obtenir un accès initial aux précieux réseaux d’entreprise.
Cela dit, les utilisateurs et les administrateurs de produits exécutant FortiOS sont invités à vérifier la version de leur logiciel et à s’assurer qu’ils exécutent une version sûre.