L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a publié mercredi ajouté une faille de sécurité critique impactant les produits Fortinet à ses vulnérabilités exploitées connues (KEV), citant des preuves d’une exploitation active.
La vulnérabilité, suivie comme CVE-2024-23113 (score CVSS : 9,8), concerne les cas d’exécution de code à distance affectant FortiOS, FortiPAM, FortiProxy et FortiWeb.
« Une utilisation d’une vulnérabilité de chaîne de format contrôlée en externe [CWE-134] dans FortiOS, le démon fgfmd peut permettre à un attaquant distant non authentifié d’exécuter du code ou des commandes arbitraires via des requêtes spécialement conçues, » Fortinet noté dans un avis concernant la faille en février 2024.
Comme c’est généralement le cas, le bulletin contient peu de détails sur la manière dont la lacune est exploitée dans la nature, ou sur qui l’utilise comme arme et contre qui.
À la lumière de l’exploitation active, les agences du pouvoir exécutif civil fédéral (FCEB) sont tenues d’appliquer les mesures d’atténuation fournies par le fournisseur d’ici le 30 octobre 2024, pour une protection optimale.
Palo Alto Networks révèle des bogues critiques lors de l’expédition
Ce développement intervient alors que Palo Alto Networks a révélé plusieurs failles de sécurité dans Expedition qui pourraient permettre à un attaquant de lire le contenu de la base de données et des fichiers arbitraires, en plus d’écrire des fichiers arbitraires dans des emplacements de stockage temporaires du système.
« Combinés, ceux-ci incluent des informations telles que les noms d’utilisateur, les mots de passe en clair, les configurations des appareils et les clés API des pare-feu PAN-OS », Palo Alto Networks dit dans une alerte de mercredi.
Les vulnérabilités, qui affectent toutes les versions d’Expedition antérieures à la 1.2.96, sont répertoriées ci-dessous –
- CVE-2024-9463 (score CVSS : 9,9) – Une vulnérabilité d’injection de commandes du système d’exploitation (OS) qui permet à un attaquant non authentifié d’exécuter des commandes arbitraires du système d’exploitation en tant qu’utilisateur root.
- CVE-2024-9464 (score CVSS : 9,3) – Une vulnérabilité d’injection de commandes du système d’exploitation qui permet à un attaquant authentifié d’exécuter des commandes arbitraires du système d’exploitation en tant que root.
- CVE-2024-9465 (score CVSS : 9,2) – Une vulnérabilité d’injection SQL qui permet à un attaquant non authentifié de révéler le contenu de la base de données Expedition
- CVE-2024-9466 (score CVSS : 8,2) – Une vulnérabilité de stockage en texte clair d’informations sensibles qui permet à un attaquant authentifié de révéler les noms d’utilisateur, les mots de passe et les clés API du pare-feu générés à l’aide de ces informations d’identification.
- CVE-2024-9467 (score CVSS : 7,0) – Une vulnérabilité de script intersite (XSS) reflétée qui permet l’exécution de JavaScript malveillant dans le contexte du navigateur d’un utilisateur Expedition authentifié si cet utilisateur clique sur un lien malveillant, permettant des attaques de phishing pouvant conduire au navigateur Expedition. vol de session
La société a remercié Zach Hanley d’Horizon3.ai pour avoir découvert et signalé CVE-2024-9464, CVE-2024-9465 et CVE-2024-9466, et Enrique Castillo de Palo Alto Networks pour CVE-2024-9463, CVE-2024-. 9464, CVE-2024-9465 et CVE-2024-9467.
Il n’y a aucune preuve que ces problèmes aient jamais été exploités à l’état sauvage, bien que des mesures soient prises pour reproduire le problème sont déjà dans le domaine public, gracieuseté d’Horizon3.ai.
Il y a environ 23 serveurs d’expédition exposé à Internet, dont la plupart sont situés aux États-Unis, en Belgique, en Allemagne, aux Pays-Bas et en Australie. À titre d’atténuation, il est recommandé de limiter l’accès aux utilisateurs, hôtes ou réseaux autorisés et d’arrêter le logiciel lorsqu’il n’est pas utilisé activement.
Cisco corrige une faille du contrôleur de structure du tableau de bord Nexus
La semaine dernière, Cisco a également publié des correctifs pour corriger une faille critique d’exécution de commandes dans Nexus Dashboard Fabric Controller (NDFC) qui, selon lui, provenait d’une autorisation utilisateur inappropriée et d’une validation insuffisante des arguments de commande.
Suivi comme CVE-2024-20432 (score CVSS : 9,9), cela pourrait permettre à un attaquant distant authentifié et peu privilégié d’effectuer une attaque par injection de commandes contre un appareil affecté. La faille a été corrigée dans la version 12.2.2 de NDFC. Il convient de noter que les versions 11.5 et antérieures ne sont pas sensibles.
« Un attaquant pourrait exploiter cette vulnérabilité en soumettant des commandes contrefaites à un point de terminaison de l’API REST concerné ou via l’interface utilisateur Web », indique-t-il. dit. « Un exploit réussi pourrait permettre à l’attaquant d’exécuter des commandes arbitraires sur la CLI d’un périphérique géré par Cisco NDFC avec des privilèges d’administrateur réseau. »