NVD a publié deux avis cette semaine pour des vulnérabilités critiques d’injection de commandes qui auraient un impact sur les produits FortiSIEM de Fortinet,mais il y a plus à voir.

Breachtrace a confirmé que ces CVE ne sont pas « nouveaux », mais des doublons d’une vulnérabilité FortiSIEM précédemment connue et ont été émis par erreur.

Fortinet: « Pas de nouvelle vulnérabilité » dans FortiSIEM en 2024
Deux avis de vulnérabilité de gravité critique ont émergé sur NVD, impliquant ForiSIEM, la solution SIEM de Fortinet.

Ces vulnérabilités d’injection de commandes du système d’exploitation, suivies sous les numéros CVE-2024-23108 et CVE-2024-23109, ont chacune reçu une note de 10/10, la plus élevée sur l’échelle CVSS utilisée pour définir la gravité associée à une vulnérabilité.

De manière assez confuse, l’avis de Fortinet associé à ces CVE porte une date de publication du « 10 octobre 2023″—pas celle d’hier, et répertorie en outre une CVE-2023-34992 précédemment connue, également une faille critique d’injection de commandes FortiSIEM OS.

Fortinet advisory for critical FortiSIEM vulnerability répertorie 3 CVE

Breachtrace a contacté le fournisseur pour obtenir des éclaircissements et il s’avère qu’il n’y a rien à voir ici—les deux nouveaux identifiants CVE, CVE-2024-23108 et CVE-2024-23109 ont été générés par erreur.

« Une modification a été apportée au FG-IR d’origine-23-130 – ce qui arrive généralement pour garantir l’exactitude continue des informations et des mises à jour sont envoyées à la base de données NVD en parallèle pour synchroniser les deux systèmes », a déclaré un porte-parole de Fortinet à Breachtrace .

« Dans ce cas, en raison d’un problème avec l’API sur lequel nous enquêtons actuellement, plutôt que d’une modification, cela a entraîné la création de deux nouveaux CVE, des doublons de l’original CVE-2023-34992. Il n’y a pas de nouvelle vulnérabilité publiée pour FortiSIEM jusqu’à présent en 2024, il s’agit d’une erreur au niveau du système et nous travaillons à rectifier et à retirer les entrées erronées. »

En tant que tel, MITRE, NVD et d’autres sources d’informations sur les vulnérabilités devraient idéalement commencer sous peu à révoquer les avis pour CVE-2024-23108 et CVE-2024-23109.

Par conséquent, les équipes InfoSec/IT qui ont déjà traité la CVE-2023-34992 de l’année dernière dans leur environnement ne devraient pas avoir besoin de prendre d’autres mesures. Nous recommandons toujours de consulter le dernier avis de Fortinet sur la CVE pour être certain des produits et versions affectés avec un correctif.

Examen de la vulnérabilité d’injection de commandes du système d’exploitation
Divulgué en octobre de l’année dernière, le CVE-2023-34992, désormais corrigé, est une vulnérabilité d’injection de commandes du système d’exploitation dans FortiSIEM supervisor qui pourrait permettre à des attaquants distants non authentifiés « d’exécuter des commandes non autorisées via des requêtes API contrefaites. »

En novembre 2023, une variante de CVE-2023-34992 est apparue, suivie à l’époque sous le nom de CVE-2023-36553 et similaire en termes de nature et de gravité.

Les produits Fortinet comprennent des pare-feu, des systèmes de sécurité des terminaux et des systèmes de détection des intrusions couramment utilisés par les entreprises. Ceux-ci ont souvent été ciblés par des groupes de piratage sophistiqués soutenus par l’État, pour accéder au réseau d’une organisation.

L’année dernière, divers rapports de cybersécurité ont confirmé des bugs dans les produits Fortinet exploités par des pirates iraniens pour attaquer des entreprises aéronautiques américaines et des clusters de cyberespionnage chinois [1, 2].

De plus, il y a eu des cas où des pirates informatiques ont exploité des vulnérabilités zero-day dans les produits Fortinet pour violer les réseaux gouvernementaux, découvertes après une ingénierie inverse minutieuse des composants spécifiques du système d’exploitation FortiGate.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *