Fortinet a révélé une vulnérabilité « critique » affectant FortiOS et FortiProxy, qui permet à un attaquant non authentifié d’exécuter du code arbitraire ou d’effectuer un déni de service (DoS) sur l’interface graphique d’appareils vulnérables à l’aide de requêtes spécialement conçues.

Cette vulnérabilité de dépassement de capacité de mémoire tampon est suivie en tant que CVE-2023-25610 et a un score CVSS v3 de 9,3, la qualifiant de critique. Ce type de faille se produit lorsqu’un programme essaie de lire plus de données à partir d’une mémoire tampon qu’il n’y en a de disponible, ce qui entraîne l’accès à des emplacements de mémoire adjacents, entraînant un comportement risqué ou des plantages.

L’avis de sécurité publié par Fortinet hier indique qu’il n’a connaissance d’aucun cas d’exploitation active dans la nature pour le moment, et cela affecte les produits suivants :

  • FortiOS versions 7.2.0 à 7.2.3
  • FortiOS versions 7.0.0 à 7.0.9
  • FortiOS versions 6.4.0 à 6.4.11
  • FortiOS versions 6.2.0 à 6.2.12
  • FortiOS 6.0, toutes versions
  • FortiProxy version 7.2.0 à 7.2.2
  • FortiProxy version 7.0.0 à 7.0.8
  • FortiProxy version 2.0.0 à 2.0.11
  • FortiProxy 1.2, toutes versions
  • FortiProxy 1.1, toutes versions

Les versions de mise à niveau cibles qui corrigent la vulnérabilité CVE-2023-25610 sont :

  • FortiOS version 7.4.0 ou supérieure
  • FortiOS version 7.2.4 ou supérieure
  • FortiOS version 7.0.10 ou supérieure
  • FortiOS version 6.4.12 ou supérieure
  • FortiOS version 6.2.13 ou supérieure
  • FortiProxy version 7.2.3 ou supérieure
  • FortiProxy version 7.0.9 ou supérieure
  • FortiProxy version 2.0.12 ou supérieure
  • FortiOS-6K7K version 7.0.10 ou supérieure
  • FortiOS-6K7K version 6.4.12 ou supérieure
  • FortiOS-6K7K version 6.2.13 ou supérieure

Fortinet indique que cinquante modèles d’appareils, répertoriés dans le bulletin de sécurité, ne sont pas impactés par le composant d’exécution de code arbitraire de la faille mais uniquement par le déni de service, même s’ils exécutent une version vulnérable de FortiOS.

Les modèles d’appareils non répertoriés dans l’avis sont vulnérables aux deux problèmes. Les administrateurs doivent donc appliquer les mises à jour de sécurité disponibles dès que possible.

Pour ceux qui ne peuvent pas appliquer les mises à jour, Fortinet suggère la solution de contournement consistant à désactiver l’interface d’administration HTTP/HTTPS ou à limiter les adresses IP pouvant y accéder à distance.

Des instructions sur la façon d’appliquer les solutions de contournement, qui couvrent également les cas d’utilisation de ports autres que ceux par défaut, sont incluses dans l’avis de sécurité.

Les acteurs de la menace surveillent les failles de gravité critique affectant les produits Fortinet, en particulier celles qui ne nécessitent aucune authentification pour être exploitées, car elles fournissent une méthode pour obtenir un accès initial aux réseaux d’entreprise. Pour cette raison, il est impératif d’atténuer rapidement cette vulnérabilité.

Par exemple, le 16 février, Fortinet a corrigé deux failles critiques d’exécution de code à distance affectant les produits FortiNAC et FortiWeb, appelant les utilisateurs à appliquer immédiatement les mises à jour de sécurité.

Un exploit de preuve de concept fonctionnel pour exploiter la faille n’a été rendu public que quatre jours plus tard, et l’exploitation active dans la nature a commencé le 22 février 2023.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *