VPN-SSL : retour à la case patch pour les clients de Fortinet

L’information a commencé à se répandre ce samedi 10 juin 2023 : une nouvelle vulnérabilité critique a été découverte dans les services VPN-SSL des équipements FortiGate de Fortinet. De type RCE, elle peut permettre de forcer l’exécution de code arbitraire, à distance, sur les systèmes affectés. Son exploitation ne nécessite pas d’authentification et s’applique donc même lorsque l’authentification à double facteur est activée. 

Fortinet avait alors déjà commencé à alerter ses clients et prévoyait de révéler publiquement l’existence de cette nouvelle vulnérabilité ce mardi 13 juin. 

Mais ce dimanche 11 juin, Charles Fol, de Lexfo, a publiquement fait état de l’existence de cette vulnérabilité, indiquant qu’elle s’est vue attribuer la référence CVE-2023-27997. Lui-même et son collègue Dany Bach l’ont rapportée à Fortinet. 

Comme au mois de décembre dernier, pour la CVE-2022-42475, le Français Olympe Cyberdéfense a publié un billet de blog évoquant la vulnérabilité. Ce dernier « invite à mettre à jour » les équipements Fortinet sur les versions 7.0.12, 7.2.5, 6.4.13 et 6.2.15. À cela s’ajoute FortiOS 6.0.17. Depuis, les CERT nationaux polonais et espagnol se sont également fendus d’une alerte. Le premier est explicite : « cette vulnérabilité peut et sera exploitée dans des attaques avec ransomware ». 

Les release notes des nouvelles versions de FortiOS corrigeant la vulnérabilité CVE-2023-27997 ont été publiées par Fortinet le 8 juin. Celles-ci ne font pas référence à la moindre vulnérabilité, à l’exception de FortiOS 6.0.17 pour lequel la plus récente vulnérabilité corrigée remonte à la mi-mars, la CVE-2023-25610.