CISA a confirmé aujourd’hui que des attaquants exploitaient activement un bogue critique d’exécution de code à distance (RCE) corrigé par Fortinet jeudi.
La faille (CVE-2024-21762) est due à une faiblesse d’écriture hors limites dans le système d’exploitation FortiOS qui peut permettre à des attaquants non authentifiés d’exécuter du code arbitraire à distance en utilisant des requêtes HTTP conçues de manière malveillante.
Les administrateurs qui ne peuvent pas déployer immédiatement des mises à jour de sécurité pour corriger les appliances vulnérables peuvent supprimer le vecteur d’attaque en désactivant le VPN SSL sur l’appareil.
L’annonce de CISA intervient un jour après que Fortinet a publié un avis de sécurité indiquant que la faille était « potentiellement exploitée à l’état sauvage. »
Bien que la société n’ait pas encore partagé plus de détails concernant le potentiel CVE-2022-48618, CISA a ajouté la vulnérabilité à son Catalogue de vulnérabilités exploitées connues, avertissant que de tels bogues sont « des vecteurs d’attaque fréquents pour les cyberacteurs malveillants » posant « des risques importants pour l’entreprise fédérale. »
L’agence de cybersécurité a également ordonné aux agences fédérales américaines de sécuriser les appareils FortiOS contre ce bogue de sécurité dans les sept jours, d’ici le 16 février, comme l’exige la directive opérationnelle contraignante (BOD 22-01) publiée en novembre 2021.
Divulgations confuses
Fortinet a corrigé deux autres vulnérabilités critiques de RCE (CVE-2024-23108 et CVE-2024-23109) dans sa solution FortiSIEM cette semaine.
Initialement, la société a nié que les CVE étaient réels et a affirmé qu’ils étaient des doublons d’une faille similaire (CVE-2023-34992) corrigée en octobre.
Cependant, le processus de divulgation de Fortinet était très déroutant, l’entreprise niant d’abord que les CVE étaient réels et affirmant qu’ils avaient été générés par erreur en raison d’un problème d’API en tant que doublons d’une faille similaire (CVE-2023-34992) corrigée en octobre.
Comme révélé plus tard, les bogues ont été découverts et signalés par l’expert en vulnérabilités Horizon3 Zach Hanley, la société admettant finalement que les deux CVE étaient des variantes du bogue CVE-2023-34992 d’origine.
Étant donné que des attaquants distants non authentifiés peuvent utiliser ces vulnérabilités pour exécuter du code arbitraire sur des appliances vulnérables, il est fortement conseillé de sécuriser immédiatement tous les appareils Fortinet dès que possible.
Les failles Fortinet (souvent des jours zéro) sont généralement ciblées pour violer les réseaux d’entreprise dans les campagnes de cyberespionnage et les attaques de ransomware.
Par exemple, Fortinet a déclaré mercredi que le groupe de piratage chinois Volt Typhoon utilisait deux failles VPN SSL FortiOS (CVE-2022-42475 et CVE-2023-27997)dans des attaques où ils déployaient le malware personnalisé Coathanger.
Coathanger est un cheval de Troie d’accès à distance (RAT) qui cible les appliances de sécurité réseau Fortigate et a récemment été utilisé pour pirater un réseau militaire du ministère néerlandais de la Défense.