Aujourd’hui, l’agence américaine CISA a révélé que la faille de sécurité CVE-2024-23113 était exploitée dans le cadre de cyberattaques. Cette vulnérabilité est présente dans certains produits Fortinet. Faisons le point.
En février dernier, la CISA avait émis une alerte similaire pour la CVE-2024-21762, une faille de sécurité présente dans la fonction VPN SSL des firewalls Fortinet. Cette fois-ci, c’est une autre vulnérabilité patchée en février 2024 qui est évoquée par la CISA : la CVE-2024-23113. Elle se situe dans le démon fgfmd utilisé par plusieurs systèmes : FortiOS, FortiPAM, FortiProxy et FortiWeb. Le fait que FortiOS soit vulnérable expose directement les firewalls FortiGate.
« Une vulnérabilité dans le daemon fgfmd de FortiOS peut permettre à un attaquant distant non authentifié d’exécuter du code ou des commandes arbitraires via des requêtes spécialement conçues.« , peut-on lire dans le bulletin de sécurité. L’exploitation de cette faiblesse ne nécessite pas d’interaction de la part d’un utilisateur.
La CISA vient d’ajouter cette faille de sécurité à son catalogue des vulnérabilités connues et exploitées, car elle a été utilisée dans le cadre d’attaques informatiques. Ainsi, les agences fédérales américaines ont pour consigne de patcher leurs équipements d’ici le 30 octobre 2024.
Qui est affecté ? Comment se protéger ?
Cette faille de sécurité critique n’affecte pas FortiOS 6.X, mais elle affecte FortiOS 7.0 et supérieur, FortiPAM 1.0 et supérieur (jusqu’à la 1.3), FortiProxy 7.0 et supérieur, et FortiWeb 7.4. Pour vous protéger, vous devez utiliser l’une de ces versions (ou une version supérieure) :
- FortiOS 7.4.3
- FortiOS 7.2.7
- FortiOS 7.0.14
- FortiPAM 1.3
- FortiProxy 7.4.3
- FortiProxy 7.2.9
- FortiProxy 7.0.16
- FortiWeb 7.4.3
Si vous ne pouvez pas appliquer le correctif, Fortinet vous propose une solution temporaire. Elle est basée sur une configuration du système pour supprimer l’accès à fgfm sur chaque interface. La configuration cible est la suivante :
À la place de :
Au-delà de vous protéger de la vulnérabilité, cette modification a l’impact suivant : « Notez que cela empêchera la découverte de FortiGate à partir de FortiManager. La connexion sera toujours possible à partir du FortiGate.« , précise Fortinet.
Il ne vous reste plus qu’à patcher vos équipements, même si c’est peut-être déjà fait étant donné que la vulnérabilité a été corrigée il y a plus de 6 mois.
