12/12/2024

Actu Cybersécurité

Fortinet : la faille de sécurité critique CVE-2024-23113 est exploitée dans des cyberattaques, alerte la CISA !

Aujourd'hui, l'agence américaine CISA a révélé que la faille de sécurité CVE-2024-23113 était exploitée dans le cadre de cyberattaques. Cette vulnérabilité est présente dans certains produits Fortinet. Faisons le point.

La faille de sécurité CVE-2024-23113

En février dernier, la CISA avait émis une alerte similaire pour la CVE-2024-21762, une faille de sécurité présente dans la fonction VPN SSL des firewalls Fortinet. Cette fois-ci, c'est une autre vulnérabilité patchée en février 2024 qui est évoquée par la CISA : la CVE-2024-23113. Elle se situe dans le démon fgfmd utilisé par plusieurs systèmes : FortiOS, FortiPAM, FortiProxy et FortiWeb. Le fait que FortiOS soit vulnérable expose directement les firewalls FortiGate.

"Une vulnérabilité dans le daemon fgfmd de FortiOS peut permettre à un attaquant distant non authentifié d'exécuter du code ou des commandes arbitraires via des requêtes spécialement conçues.", peut-on lire dans le bulletin de sécurité. L'exploitation de cette faiblesse ne nécessite pas d'interaction de la part d'un utilisateur.

La CISA vient d'ajouter cette faille de sécurité à son catalogue des vulnérabilités connues et exploitées, car elle a été utilisée dans le cadre d'attaques informatiques. Ainsi, les agences fédérales américaines ont pour consigne de patcher leurs équipements d'ici le 30 octobre 2024.

Qui est affecté ? Comment se protéger ?

Cette faille de sécurité critique n'affecte pas FortiOS 6.X, mais elle affecte FortiOS 7.0 et supérieur, FortiPAM 1.0 et supérieur (jusqu'à la 1.3), FortiProxy 7.0 et supérieur, et FortiWeb 7.4. Pour vous protéger, vous devez utiliser l'une de ces versions (ou une version supérieure) :

  • FortiOS 7.4.3
  • FortiOS 7.2.7
  • FortiOS 7.0.14
  • FortiPAM 1.3
  • FortiProxy 7.4.3
  • FortiProxy 7.2.9
  • FortiProxy 7.0.16
  • FortiWeb 7.4.3

Si vous ne pouvez pas appliquer le correctif, Fortinet vous propose une solution temporaire. Elle est basée sur une configuration du système pour supprimer l'accès à fgfm sur chaque interface. La configuration cible est la suivante :

config system interface
edit "portX"
set allowaccess ping https ssh
next
end

À la place de :

config system interface
edit "portX"
set allowaccess ping https ssh fgfm
next
end

Au-delà de vous protéger de la vulnérabilité, cette modification a l'impact suivant : "Notez que cela empêchera la découverte de FortiGate à partir de FortiManager. La connexion sera toujours possible à partir du FortiGate.", précise Fortinet.

Il ne vous reste plus qu'à patcher vos équipements, même si c'est peut-être déjà fait étant donné que la vulnérabilité a été corrigée il y a plus de 6 mois.

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.