SonicWall a exhorté mercredi les clients du logiciel de gestion de pare-feu Global Management System (GMS) et de moteur de rapport réseau Analytics à appliquer les derniers correctifs pour se protéger contre un ensemble de 15 failles de sécurité qui pourraient être exploitées par un acteur malveillant pour contourner l’authentification et accéder aux informations sensibles.
Sur les 15 défauts (suivis de CVE-2023-34123 à CVE-2023-34137), quatre sont classés critiques, quatre sont classés élevés et sept sont classés de gravité moyenne. Les vulnérabilités ont été divulguées par NCC Group.
Les failles affectent les versions sur site de GMS 9.3.2-SP1 et versions antérieures et Analytics 2.5.0.4-R7 et versions antérieures. Des correctifs sont disponibles dans les versions GMS 9.3.3 et Analytics 2.5.2.
« La suite de vulnérabilités permet à un attaquant d’afficher des données qu’il n’est normalement pas en mesure de récupérer », SonicWall a dit. « Cela peut inclure des données appartenant à d’autres utilisateurs ou toute autre donnée à laquelle l’application elle-même peut accéder. Dans de nombreux cas, un attaquant peut modifier ou supprimer ces données, provoquant des modifications persistantes du contenu ou du comportement de l’application. »
La liste des défauts critiques est la suivante –
- CVE-2023-34124 (Score CVSS : 9,4) – Contournement de l’authentification du service Web
- CVE-2023-34133 (Score CVSS : 9,8) – Plusieurs problèmes d’injection SQL non authentifiés et contournement du filtre de sécurité
- CVE-2023-34134 (Score CVSS : 9,8) – Lecture du hachage du mot de passe via le service Web
- CVE-2023-34137 (Score CVSS : 9,4) – Contournement de l’authentification Cloud App Security (CAS)
La divulgation intervient alors que Fortinet a révélé une faille critique affectant FortiOS et FortiProxy (CVE-2023-33308, score CVSS : 9,8) qui pourrait permettre à un adversaire d’exécuter du code à distance dans certaines circonstances. Il a déclaré que le problème avait été résolu dans une version précédente, sans avis.
« Une vulnérabilité de débordement basée sur la pile [CWE-124] dans FortiOS et FortiProxy peut permettre à un attaquant distant d’exécuter un code ou une commande arbitraire via des paquets spécialement conçus pour atteindre les politiques de proxy ou les politiques de pare-feu avec le mode proxy parallèlement à l’inspection approfondie des paquets SSL », a déclaré la société. a dit dans un avis.
Bouclier contre les menaces internes : maîtriser la gestion de la posture de sécurité SaaS
Inquiet des menaces internes ? Nous avons ce qu’il vous faut! Rejoignez ce webinaire pour explorer les stratégies pratiques et les secrets de la sécurité proactive avec la gestion de la posture de sécurité SaaS.
Les produits concernés incluent les versions FortiOS 7.2.0 à 7.2.3 et 7.0.0 à 7.0.10 ainsi que les versions FortiProxy 7.2.0 à 7.2.2 et 7.0.0 à 7.0.9. Les versions qui bouchent le trou de sécurité sont listées ci-dessous –
- FortiOS version 7.4.0 ou supérieure
- FortiOS version 7.2.4 ou supérieure
- FortiOS version 7.0.11 ou supérieure
- FortiProxy version 7.2.3 ou supérieure, et
- FortiProxy version 7.0.10 ou supérieure
Il convient de noter que la faille n’affecte pas toutes les versions de FortiOS 6.0, FortiOS 6.2 et FortiOS 6.4, et FortiProxy 1.x et FortiProxy 2.x.
Pour les clients qui ne peuvent pas appliquer les mises à jour immédiatement, Fortinet est recommander qu’ils désactivent le support HTTP/2 sur les profils d’inspection SSL utilisés par les politiques de proxy ou les politiques de pare-feu avec le mode proxy.