Fortinet a révélé lundi qu’une faille critique récemment corrigée affectant FortiOS et FortiProxy pourrait avoir été « exploitée dans un nombre limité de cas » dans des attaques ciblant les secteurs du gouvernement, de la fabrication et des infrastructures critiques.
Le vulnérabilitésuivi comme CVE-2023-27997 (score CVSS : 9,2), concerne un débordement de tampon basé sur le tas vulnérabilité dans FortiOS et FortiProxy SSL-VPN qui pourrait permettre à un attaquant distant d’exécuter du code ou des commandes arbitraires via des requêtes spécialement conçues.
Les chercheurs en sécurité de LEXFO, Charles Fol et Dany Bach, ont été crédités d’avoir découvert et signalé la faille. Il a été adressé par Fortinet le 9 juin 2023 dans les versions suivantes –
- FortiOS-6K7K version 7.0.12 ou supérieure
- FortiOS-6K7K version 6.4.13 ou supérieure
- FortiOS-6K7K version 6.2.15 ou supérieure
- FortiOS-6K7K version 6.0.17 ou supérieure
- FortiProxy version 7.2.4 ou supérieure
- FortiProxy version 7.0.10 ou supérieure
- FortiProxy version 2.0.13 ou supérieure
- FortiOS version 7.4.0 ou supérieure
- FortiOS version 7.2.5 ou supérieure
- FortiOS version 7.0.12 ou supérieure
- FortiOS version 6.4.13 ou supérieure
- FortiOS version 6.2.14 ou supérieure, et
- FortiOS version 6.0.17 ou supérieure
L’entreprise, dans un divulgation indépendantea déclaré que le problème avait été découvert simultanément lors d’un audit de code initié avec prudence suite à l’exploitation active d’une faille similaire dans le produit SSL-VPN (CVE-2022-42475, score CVSS : 9,3) en décembre 2022.
🔐 Maîtriser la sécurité des API : Comprendre votre véritable surface d’attaque
Découvrez les vulnérabilités inexploitées de votre écosystème d’API et prenez des mesures proactives pour une sécurité à toute épreuve. Rejoignez notre webinaire perspicace !
Fortinet a en outre déclaré qu’il n’attribuait pas les événements d’exploitation à ce stade à un acteur parrainé par l’État chinois nommé Volt Typhoon, qui a été révélé par Microsoft le mois dernier comme exploitant une faille zero-day inconnue dans les appareils Fortinet FortiGuard connectés à Internet pour obtenir un accès initial. aux environnements cibles.
Il a cependant noté qu’il « s’attend à ce que tous les acteurs de la menace, y compris ceux à l’origine de la campagne Volt Typhoon, continuent d’exploiter les vulnérabilités non corrigées dans les logiciels et appareils largement utilisés ».
À la lumière des abus actifs dans la nature, la société recommande aux clients de prendre des mesures immédiates pour mettre à jour la dernière version du micrologiciel afin d’éviter les risques potentiels.
« Fortinet continue de surveiller la situation et a communiqué de manière proactive avec ses clients, les exhortant vivement à suivre immédiatement les conseils fournis pour atténuer la vulnérabilité en utilisant soit les solutions de contournement fournies, soit la mise à niveau », a déclaré la société à The Hacker News.