Cisco, Fortinet et VMware ont publié des correctifs de sécurité pour plusieurs vulnérabilités de sécurité, y compris des faiblesses critiques qui pourraient être exploitées pour effectuer des actions arbitraires sur les appareils concernés.
Le premier ensemble de Cisco se compose de trois failles – CVE-2024-20252 et CVE-2024-20254 (score CVSS : 9,6) et CVE-2024-20255 (score CVSS : 8,2) – affectant la série Cisco Expressway qui pourrait permettre un accès non authentifié, un attaquant distant pour mener des attaques de falsification de requêtes intersites (CSRF).
Tous les problèmes détectés lors des tests de sécurité internes proviennent de protections CSRF insuffisantes pour l’interface de gestion Web, ce qui pourrait permettre à un attaquant d’effectuer des actions arbitraires avec le niveau de privilège de l’utilisateur concerné.
« Si l’utilisateur concerné dispose de privilèges administratifs, ces actions pourraient inclure la modification de la configuration du système et la création de nouveaux comptes privilégiés », Cisco dit à propos de CVE-2024-20252 et CVE-2024-20254.
D’un autre côté, une exploitation réussie de CVE-2024-20255 ciblant un utilisateur disposant de privilèges administratifs pourrait permettre à l’acteur malveillant d’écraser les paramètres de configuration du système, entraînant ainsi une condition de déni de service (DoS).
Une autre différence cruciale entre les deux ensembles de failles est que, même si les deux premiers affectent les appareils de la gamme Cisco Expressway dans la configuration par défaut, CVE-2024-20252 ne les affecte que si la fonctionnalité API de la base de données de cluster (CDB) a été activée. Il est désactivé par défaut.
Des correctifs pour ces vulnérabilités sont disponibles dans les versions 14.3.4 et 15.0.0 de la gamme Cisco Expressway.
Fortinet, de son côté, a publié un deuxième série de mises à jour pour remédier aux contournements d’une faille critique précédemment révélée (CVE-2023-34992, score CVSS : 9,7) dans le superviseur FortiSIEM qui pourrait entraîner l’exécution de code arbitraire, selon au chercheur d’Horizon3.ai, Zach Hanley.
Suivi comme CVE-2024-23108 et CVE-2024-23109 (scores CVSS : 9,8), les failles « peuvent permettre à un attaquant distant non authentifié d’exécuter des commandes non autorisées via des requêtes API contrefaites ».
Il convient de noter que Fortinet a résolu une autre variante de CVE-2023-34992 en fermant CVE-2023-36553 (score CVSS : 9,3) en novembre 2023. Les deux nouvelles vulnérabilités sont/seront corrigées dans les versions suivantes :
- FortiSIEM version 7.1.2 ou supérieure
- FortiSIEM version 7.2.0 ou supérieure (à venir)
- FortiSIEM version 7.0.3 ou supérieure (à venir)
- FortiSIEM version 6.7.9 ou supérieure (à venir)
- FortiSIEM version 6.6.5 ou supérieure (à venir)
- FortiSIEM version 6.5.3 ou supérieure (à venir), et
- FortiSIEM version 6.4.4 ou supérieure (à venir)
Le tiercé trio est complété par VMware, qui a mis en garde contre cinq défauts de gravité modérée à importante dans Aria Operations for Networks (anciennement vRealize Network Insight) –
- CVE-2024-22237 (score CVSS : 7,8) – Vulnérabilité d’élévation de privilèges locale qui permet à un utilisateur de console d’obtenir un accès root régulier
- CVE-2024-22238 (score CVSS : 6,4) – Vulnérabilité de script intersite (XSS) qui permet à un acteur malveillant disposant de privilèges d’administrateur d’injecter du code malveillant dans les configurations de profil utilisateur.
- CVE-2024-22239 (score CVSS : 5,3) – Vulnérabilité d’élévation de privilèges locale qui permet à un utilisateur de console d’obtenir un accès régulier au shell
- CVE-2024-22240 (score CVSS : 4,9) – Vulnérabilité de lecture de fichiers locaux qui permet à un acteur malveillant disposant de privilèges d’administrateur d’accéder à des informations sensibles
- CVE-2024-22241 (score CVSS : 4,3) – Vulnérabilité de script intersite (XSS) qui permet à un acteur malveillant disposant de privilèges d’administrateur d’injecter du code malveillant et de prendre le contrôle du compte utilisateur.
Pour atténuer les risques, tous les utilisateurs de VMware Aria Operations for Networks version 6.x sont recommandé pour passer à la version 6.12.0.
Compte tenu de l’historique d’exploitation des failles Cisco, Fortinet et VMware, l’application de correctifs est une première étape nécessaire et cruciale que les organisations doivent franchir pour remédier aux lacunes.