14/11/2024
IT-Connect » Actualités » Actu Cybersécurité » Cette faille critique dans FortiClient EMS permet d’exécuter du code à distance en tant que SYSTEM

FortiClient EMS - Faille de sécurité - CVE-2023-48788
Actu Cybersécurité

Cette faille critique dans FortiClient EMS permet d’exécuter du code à distance en tant que SYSTEM

Florian BURNEL 2 commentaires

Une faille de sécurité critique présente dans la solution FortiClient Enterprise Management Server (EMS) de chez Fortinet est activement exploitée par les cybercriminels ! Voici ce qu'il faut savoir sur cette menace !

Le 12 mars 2024, Fortinet a mis en ligne un bulletin de sécurité pour informer ses utilisateurs de la présence d'une vulnérabilité critique (score CVSSv3 de 9.3 sur 10) présente dans la solution FortiClient EMS.

Associée à la référence CVE-2023-48788, il s'agit d'une faiblesse de type "injection SQL" permettant à un attaquant non authentifié d'exécuter du code ou des commandes à distance sur la machine vulnérable. Autrement dit, un attaquant en mesure de communiquer avec un serveur vulnérable peut exécuter du code avec les privilèges SYSTEM dans le but de compromettre la machine.

Dans ce même bulletin de sécurité, nous pouvons lire ceci : "Cette vulnérabilité est exploitée dans la nature". De plus, mercredi 20 mars 2024, les chercheurs en sécurité de chez Horizon3.ai ont mis en ligne un rapport et un exploit PoC au sujet de cette faille de sécurité. Cet exploit se présente sous la forme d'un script Python et il est disponible sur GitHub.

"Pour transformer cette vulnérabilité d'injection SQL en exécution de code à distance, nous avons utilisé la fonctionnalité xp_cmdshell intégrée de Microsoft SQL Server.", peut-on lire dans le rapport d'Horizon3.ai. Cette fonction n'est pas activée par défaut sur SQL Server, ce qui explique de jouer certaines commandes en amont par l'intermédiaire de l'injection SQL.

Une recherche sur Shodan montre qu'il y a actuellement 446 serveurs FortiClient EMS exposés sur Internet, dont 13 en France et au Canada, 8 en Suisse et 4 en Belgique.

Shodan - CVE-2023-48788 - 21 mars 2024

Comment se protéger ?

Voici un tableau récapitulatif avec la liste des versions affectées et la liste des versions qui intègrent un correctif de sécurité pour la CVE-2023-48788.

Version (branche)Versions vulnérablesSolution
FortiClientEMS 7.27.2.0 à 7.2.2Mettre à niveau vers 7.2.3 ou supérieur
FortiClientEMS 7.07.0.1 à 7.0.10Mettre à niveau vers 7.0.11 ou supérieur

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
See Full Bio
social network icon social network icon
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Vous pourrez aussi aimer

Cette fausse mise à niveau Windows 11 dérobe vos identifiants !

Florian BURNEL 0
FreeBSD - Ping - CVE-2022-23093

Une faille critique dans le ping met en péril les utilisateurs de FreeBSD

Florian BURNEL 0
Trojan bancaire Anatsa - Cible les appareils Android

En Europe, le malware Anatsa a déjà infecté plus de 150 000 appareils Android

Florian BURNEL 0

2 commentaires sur “Cette faille critique dans FortiClient EMS permet d’exécuter du code à distance en tant que SYSTEM

  • Chirack Ngungu
    22/03/2024 à 21:47
    Permalink

    Salut! Je besoin d’une formation en ligne de fortigate

    Répondre

    • Il doit y en avoir une sur le site de Fortinet mais elle est payante !
      regarde si tu peux la passer avec ton entreprise

      Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.