Fortinet a révélé une nouvelle faille de sécurité critique dans le VPN SSL FortiOS qui, selon lui, est probablement exploitée à l’état sauvage.
La vulnérabilité, CVE-2024-21762 (score CVSS : 9,6), permet l’exécution de code et de commandes arbitraires.
« Une vulnérabilité d’écriture hors limites [CWE-787] dans FortiOS peut permettre à un attaquant distant non authentifié d’exécuter du code ou une commande arbitraire via des requêtes HTTP spécialement conçues », a déclaré la société. dit dans un bulletin publié jeudi.
Il a en outre reconnu que le problème était « potentiellement exploité à l’état sauvage », sans donner de détails supplémentaires sur la manière dont il est utilisé comme arme et par qui.
Les versions suivantes sont affectées par la vulnérabilité. Il convient de noter que FortiOS 7.6 n’est pas affecté.
- FortiOS 7.4 (versions 7.4.0 à 7.4.2) – Mise à niveau vers 7.4.3 ou supérieur
- FortiOS 7.2 (versions 7.2.0 à 7.2.6) – Mise à niveau vers 7.2.7 ou supérieur
- FortiOS 7.0 (versions 7.0.0 à 7.0.13) – Mise à niveau vers 7.0.14 ou version ultérieure
- FortiOS 6.4 (versions 6.4.0 à 6.4.14) – Mise à niveau vers 6.4.15 ou version ultérieure
- FortiOS 6.2 (versions 6.2.0 à 6.2.15) – Mise à niveau vers 6.2.16 ou supérieur
- FortiOS 6.0 (versions 6.0 toutes versions) – Migrer vers une version corrigée
Ce développement intervient alors que Fortinet a publié des correctifs pour CVE-2024-23108 et CVE-2024-23109, impactant le superviseur FortiSIEM, permettant à un attaquant distant non authentifié d’exécuter des commandes non autorisées via des requêtes API contrefaites.
Plus tôt cette semaine, le gouvernement néerlandais a révélé qu’un réseau informatique utilisé par les forces armées avait été infiltré par des acteurs parrainés par l’État chinois en exploitant des failles connues des appareils Fortinet FortiGate pour créer une porte dérobée appelée COATHANGER.
La société, dans un rapport publié cette semaine, a révélé que les vulnérabilités de sécurité de N jours dans ses logiciels, telles que CVE-2022-42475 et CVE-2023-27997, sont exploitées par plusieurs clusters d’activités pour cibler les gouvernements, les fournisseurs de services et les cabinets de conseil. , l’industrie manufacturière et les grandes organisations d’infrastructures critiques.
Auparavant, les acteurs chinois de la menace avaient été associés à l’exploitation de failles de sécurité dans les appliances Fortinet pour fournir une large gamme d’implants, tels que BOLDMOVE, THINCRUST et CASTLETAP.
Cela fait également suite à un avis du gouvernement américain concernant un groupe d’État-nation chinois surnommé Volt Typhoon, qui a ciblé les infrastructures critiques du pays pour une persistance à long terme non découverte en tirant parti des failles connues et zero-day des appareils de réseau tels que ceux-ci. de Fortinet, Ivanti Connect Secure, NETGEAR, Citrix et Cisco pour l’accès initial.
La Chine, qui a refusé les allégations accusaient les États-Unis de mener leurs propres cyberattaques.
Au contraire, les campagnes menées par la Chine et la Russie soulignent la menace croissante à laquelle sont confrontés les appareils de pointe connectés à Internet ces dernières années, en raison du fait que ces technologies ne prennent pas en charge la détection et la réponse des points finaux (EDR), ce qui les rend propices aux abus.
« Ces attaques démontrent l’utilisation de vulnérabilités de N jours déjà résolues et des vulnérabilités ultérieures [living-off-the-land] techniques, qui sont très révélatrices du comportement employé par le cyberacteur ou groupe d’acteurs connu sous le nom de Volt Typhoon, qui a utilisé ces méthodes pour cibler des infrastructures critiques et potentiellement d’autres acteurs adjacents », Fortinet dit.