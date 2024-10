Aujourd’hui, CISA a révélé que des attaquants exploitaient activement une vulnérabilité critique d’exécution de code à distance (RCE) de FortiOS.

La faille (CVE-2024-23113) est due au fait que le démon fgfmd accepte comme argument une chaîne de format contrôlée de manière externe, ce qui peut permettre à des acteurs malveillants non authentifiés d’exécuter des commandes ou du code arbitraire sur des appareils non corrigés dans le cadre d’attaques peu complexes qui ne nécessitent pas l’utilisation de l’utilisateur. interaction.

Comme l’explique Fortinet, le démon vulnérable fgfmd s’exécute sur FortiGate et FortiManager, gérant toutes les demandes d’authentification et gérant les messages de maintien entre eux (ainsi que toutes les actions qui en résultent, comme demander à d’autres processus de mettre à jour des fichiers ou des bases de données).

CVE-2024-23113 impacte FortiOS 7.0 et versions ultérieures, FortiPAM 1.0 et versions ultérieures, FortiProxy 7.0 et versions ultérieures et FortiWeb 7.4.

La société a divulgué et corrigé cette faille de sécurité en février lorsqu’elle a conseillé aux administrateurs de supprimer l’accès au damon fgfmd pour toutes les interfaces comme mesure d’atténuation conçue pour bloquer les attaques potentielles.

« Notez que cela empêchera la découverte de FortiGate depuis FortiManager. La connexion sera toujours possible depuis FortiGate », a déclaré Fortinet.

« Veuillez également noter qu’une politique d’entrée locale qui autorise uniquement les connexions FGFM à partir d’une adresse IP spécifique réduira la surface d’attaque, mais n’empêchera pas l’exploitation de la vulnérabilité à partir de cette adresse IP. En conséquence, cela devrait être utilisé comme mesure d’atténuation. et non comme une solution de contournement complète. »

Les agences fédérales doivent appliquer le correctif dans un délai de trois semaines

Bien que Fortinet n’ait pas encore mis à jour son avis de février pour confirmer l’exploitation de CVE-2024-23113, CISA ajouté la vulnérabilité à son Catalogue des vulnérabilités exploitées connues mercredi.

Les agences fédérales américaines sont désormais également tenues de sécuriser les appareils FortiOS sur leurs réseaux contre ces attaques en cours dans un délai de trois semaines, d’ici le 30 octobre, comme l’exige la directive opérationnelle contraignante (DBO 22-01) publié en novembre 2021.

« Ces types de vulnérabilités sont des vecteurs d’attaque fréquents pour les cyber-acteurs malveillants et présentent des risques importants pour l’entreprise fédérale », a prévenu l’agence de cybersécurité.

Le service de renseignement et de sécurité militaire néerlandais (MIVD) a averti en juin que des pirates informatiques chinois avaient exploité une autre vulnérabilité critique de FortiOS RCE (CVE-2022-42475) entre 2022 et 2023 pour pirater et infecter au moins 20 000 appareils de sécurité réseau Fortigate avec des logiciels malveillants.