{"id":828127,"date":"2023-07-13T04:54:36","date_gmt":"2023-07-13T06:54:36","guid":{"rendered":"https:\/\/teknomers.com\/fr\/nouvelles-vulnerabilites-divulguees-dans-les-produits-de-securite-reseau-sonicwall-et-fortinet\/"},"modified":"2023-07-13T04:54:39","modified_gmt":"2023-07-13T06:54:39","slug":"nouvelles-vulnerabilites-divulguees-dans-les-produits-de-securite-reseau-sonicwall-et-fortinet","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/nouvelles-vulnerabilites-divulguees-dans-les-produits-de-securite-reseau-sonicwall-et-fortinet\/","title":{"rendered":"Nouvelles vuln\u00e9rabilit\u00e9s divulgu\u00e9es dans les produits de s\u00e9curit\u00e9 r\u00e9seau SonicWall et Fortinet"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">13 juil. 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">THN<\/span><\/span><span class=\"p-tags\">S\u00e9curit\u00e9 r\u00e9seau \/ Vuln\u00e9rabilit\u00e9<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>SonicWall a exhort\u00e9 mercredi les clients du logiciel de gestion de pare-feu Global Management System (GMS) et de moteur de rapport r\u00e9seau Analytics \u00e0 appliquer les derniers correctifs pour se prot\u00e9ger contre un ensemble de 15 failles de s\u00e9curit\u00e9 qui pourraient \u00eatre exploit\u00e9es par un acteur malveillant pour contourner l&#8217;authentification et acc\u00e9der aux informations sensibles.<\/p>\n<p>Sur les 15 d\u00e9fauts (suivis de CVE-2023-34123 \u00e0 CVE-2023-34137), quatre sont class\u00e9s critiques, quatre sont class\u00e9s \u00e9lev\u00e9s et sept sont class\u00e9s de gravit\u00e9 moyenne.  Les vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 divulgu\u00e9es par NCC Group.<\/p>\n<p>Les failles affectent les versions sur site de GMS 9.3.2-SP1 et versions ant\u00e9rieures et Analytics 2.5.0.4-R7 et versions ant\u00e9rieures.  Des correctifs sont disponibles dans les versions GMS 9.3.3 et Analytics 2.5.2.<\/p>\n<p>&#8220;La suite de vuln\u00e9rabilit\u00e9s permet \u00e0 un attaquant d&#8217;afficher des donn\u00e9es qu&#8217;il n&#8217;est normalement pas en mesure de r\u00e9cup\u00e9rer&#8221;, SonicWall <a rel=\"nofollow noopener\" href=\"https:\/\/www.sonicwall.com\/support\/knowledge-base\/urgent-security-notice-sonicwall-gms-analytics-impacted-by-suite-of-vulnerabilities\/230710150218060\/\" target=\"_blank\">a dit<\/a>.  &#8220;Cela peut inclure des donn\u00e9es appartenant \u00e0 d&#8217;autres utilisateurs ou toute autre donn\u00e9e \u00e0 laquelle l&#8217;application elle-m\u00eame peut acc\u00e9der. Dans de nombreux cas, un attaquant peut modifier ou supprimer ces donn\u00e9es, provoquant des modifications persistantes du contenu ou du comportement de l&#8217;application.&#8221;<\/p>\n<section class=\"check_two clear badbox\"><center class=\"cf\"> <\/center><\/section>\n<p>La liste des d\u00e9fauts critiques est la suivante &#8211;<\/p>\n<ul>\n<li><strong>CVE-2023-34124<\/strong> (Score CVSS : 9,4) &#8211; Contournement de l&#8217;authentification du service Web<\/li>\n<li><strong>CVE-2023-34133<\/strong> (Score CVSS : 9,8) &#8211; Plusieurs probl\u00e8mes d&#8217;injection SQL non authentifi\u00e9s et contournement du filtre de s\u00e9curit\u00e9<\/li>\n<li><strong>CVE-2023-34134<\/strong> (Score CVSS\u00a0: 9,8) &#8211; Lecture du hachage du mot de passe via le service Web<\/li>\n<li><strong>CVE-2023-34137<\/strong> (Score CVSS : 9,4) &#8211; Contournement de l&#8217;authentification Cloud App Security (CAS)<\/li>\n<\/ul>\n<p>La divulgation intervient alors que Fortinet a r\u00e9v\u00e9l\u00e9 une faille critique affectant FortiOS et FortiProxy (CVE-2023-33308, score CVSS\u00a0: 9,8) qui pourrait permettre \u00e0 un adversaire d&#8217;ex\u00e9cuter du code \u00e0 distance dans certaines circonstances.  Il a d\u00e9clar\u00e9 que le probl\u00e8me avait \u00e9t\u00e9 r\u00e9solu dans une version pr\u00e9c\u00e9dente, sans avis.<\/p>\n<p>&#8220;Une vuln\u00e9rabilit\u00e9 de d\u00e9bordement bas\u00e9e sur la pile [CWE-124] dans FortiOS et FortiProxy peut permettre \u00e0 un attaquant distant d&#8217;ex\u00e9cuter un code ou une commande arbitraire via des paquets sp\u00e9cialement con\u00e7us pour atteindre les politiques de proxy ou les politiques de pare-feu avec le mode proxy parall\u00e8lement \u00e0 l&#8217;inspection approfondie des paquets SSL \u00bb, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9. <a rel=\"nofollow noopener\" href=\"https:\/\/www.fortiguard.com\/psirt\/FG-IR-23-183\" target=\"_blank\">a dit<\/a> dans un avis.<\/p>\n<section class=\"check_two_webinar clear badbox\"><span class=\"wn-label\">WEBINAIRE \u00c0 VENIR<\/span><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/I26t1VFD\" target=\"_blank\" class=\"wn-head\"><\/p>\n<p>Bouclier contre les menaces internes\u00a0: ma\u00eetriser la gestion de la posture de s\u00e9curit\u00e9 SaaS<\/p>\n<p><\/a><\/p>\n<p class=\"wn-description\">Inquiet des menaces internes ?  Nous avons ce qu&#8217;il vous faut!  Rejoignez ce webinaire pour explorer les strat\u00e9gies pratiques et les secrets de la s\u00e9curit\u00e9 proactive avec la gestion de la posture de s\u00e9curit\u00e9 SaaS.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/I26t1VFD\" target=\"_blank\" class=\"wn-button\">Joignez aujourd&#8217;hui<\/a><\/section>\n<p>Les produits concern\u00e9s incluent les versions FortiOS 7.2.0 \u00e0 7.2.3 et 7.0.0 \u00e0 7.0.10 ainsi que les versions FortiProxy 7.2.0 \u00e0 7.2.2 et 7.0.0 \u00e0 7.0.9.  Les versions qui bouchent le trou de s\u00e9curit\u00e9 sont list\u00e9es ci-dessous &#8211;<\/p>\n<ul>\n<li>FortiOS version 7.4.0 ou sup\u00e9rieure<\/li>\n<li>FortiOS version 7.2.4 ou sup\u00e9rieure<\/li>\n<li>FortiOS version 7.0.11 ou sup\u00e9rieure<\/li>\n<li>FortiProxy version 7.2.3 ou sup\u00e9rieure, et<\/li>\n<li>FortiProxy version 7.0.10 ou sup\u00e9rieure<\/li>\n<\/ul>\n<p>Il convient de noter que la faille n&#8217;affecte pas toutes les versions de FortiOS 6.0, FortiOS 6.2 et FortiOS 6.4, et FortiProxy 1.x et FortiProxy 2.x.<\/p>\n<p>Pour les clients qui ne peuvent pas appliquer les mises \u00e0 jour imm\u00e9diatement, Fortinet est <a rel=\"nofollow noopener\" href=\"https:\/\/docs.fortinet.com\/document\/fortigate\/7.0.0\/new-features\/710924\/http-2-support-in-proxy-mode-ssl-inspection\" target=\"_blank\">recommander<\/a> qu&#8217;ils d\u00e9sactivent le support HTTP\/2 sur les profils d&#8217;inspection SSL utilis\u00e9s par les politiques de proxy ou les politiques de pare-feu avec le mode proxy.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/07\/new-vulnerabilities-disclosed-in.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80213 juil. 2023\ue804THNS\u00e9curit\u00e9 r\u00e9seau \/ Vuln\u00e9rabilit\u00e9 SonicWall a exhort\u00e9 mercredi les clients du logiciel de gestion de pare-feu Global Management System (GMS) et de moteur de rapport r\u00e9seau Analytics \u00e0 appliquer les derniers correctifs pour se prot\u00e9ger contre un ensemble de 15 failles de s\u00e9curit\u00e9 qui pourraient \u00eatre exploit\u00e9es par un acteur malveillant pour contourner [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":828128,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[4168,4158,4165,4161,429,39164,87014,4157,4159,4171,4170,65,4167,4160,120,4163,4162,2726,4810,1835,4172,4169,39225,4166,4164,12365],"class_list":["post-828127","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dans","tag-divulguees","tag-fortinet","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-produits","tag-reseau","tag-securite","tag-securite-informatique","tag-securite-internet","tag-sonicwall","tag-violation-de-donnees","tag-vulnerabilite-logicielle","tag-vulnerabilites"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/828127","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=828127"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/828127\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/828128"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=828127"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=828127"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=828127"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}