Fortinet : la dernière vulnérabilité 0day est activement exploitée

L’agence américaine de la cybersécurité et de la sécurité des infrastructures (Cisa) a exhorté les utilisateurs à remédier à deux vulnérabilités critiques de Fortinet dans des produits qui sont couramment ciblés par le groupe malveillant étatique chinois Volt Typhoon. L’une d’entre elles est déjà exploitée activement.

Fortinet a publié deux avis distincts jeudi dernier pour dévoiler des vulnérabilités critiques. La première est une vulnérabilité inédite hors limites, CVE-2024-21762, ou ce qu’elle suit en interne sous la référence FG-IR-24-015. La seconde est la CVE-2024-23113, que Fortinet décrit comme une « vulnérabilité d’utilisation d’une chaîne de format contrôlée de l’extérieur » et qu’elle suit sous FG-IR-24-029. Ces deux vulnérabilités affectent FortiOS et pourraient permettre à un attaquant non authentifié d’exécuter du code ou des commandes à distance sur un appareil affecté.

Alors que Fortinet a averti que CVE-2024-21762 était « potentiellement » exploitée, la Cisq a ajouté la vulnérabilité à son catalogue de vulnérabilités connues et exploitées vendredi « sur la base de preuves d’une exploitation active ». L’agence gouvernementale a simultanément publié un avis invitant les utilisateurs et les administrateurs à appliquer des mesures d’atténuation pour les deux vulnérabilités de Fortinet.

Les avis de la Cisa et de Fortinet ont été émis quelques jours seulement après que les agences gouvernementales américaines aient averti que Volt Typhoon avait compromis les infrastructures critiques des États-Unis et maintenu l’accès aux environnements informatiques de certaines victimes pendant au moins cinq ans. Les agences pensent que le groupe malveillant se prépare à lancer des attaques potentiellement perturbatrices en cas de conflit majeur avec les États-Unis et ont exhorté les entreprises à prendre des mesures immédiates pour atténuer les effets des dispositifs couramment ciblés utilisés pour l’accès initial.

Les produits les plus souvent visés sont notamment les VPN SSL de Fortinet et les dispositifs de réseau exposés sur Internet. Un autre fournisseur fréquemment visé est Ivanti, qui a révélé jeudi une nouvelle vulnérabilité, référencée CVE-2024-22024, dans son produit Ivanti Connect Secure. En janvier, Volexity a confirmé qu’un acteur chinois, identifié sous la référence UTA0178, exploitait activement deux vulnérabilités 0day d’Ivanti dans Ivanti Connect Secure et Ivanti Policy Secure contre 1 700 appareils dans le monde entier.

La CVE-2024-21762 affecte la passerelle web sécurisée FortiProxy de Fortinet et le logiciel FortiOS dans le VPN SSL du fournisseur, qui s’est avéré être une cible populaire. En juin, Fortinet a publié un avis concernant une autre vulnérabilité du VPN SSL, répertoriée sous la référence CVE-2023-27997, et a averti les organisations d’infrastructures critiques que Volt Typhoon était susceptible d’attaquer.

La dernière faille de Fortinet affecte plusieurs versions de FortiOS entre 6.0 et 7.4.2, et les utilisateurs doivent mettre à jour vers les versions corrigées – 7.4.3 ou plus. « Solution : désactiver le VPN SSL (désactiver le mode web n’est PAS une solution valable) », a écrit Fortinet dans l’avis FG-IR-24-015.

La CVE-2024-23113 affecte le démon du protocole FortiGate to FortiManager de FortiOS, qui est utilisé pour sécuriser les périphériques réseau. Il n’affecte pas la version 6 de FortiOS. Les utilisateurs sont de nouveau invités à mettre à jour ou à migrer vers une version corrigée. L’avis fournit une solution de contournement, mais prévient qu’elle doit être utilisée comme une mesure d’atténuation et non comme une solution de remédiation complète en raison des risques.

« Veuillez également noter qu’une politique d’entrée locale qui n’autorise que les connexions FGFM à partir d’une IP spécifique réduira la surface d’attaque, mais n’empêchera pas la vulnérabilité d’être exploitée à partir de cette IP », écrit Fortinet dans l’avis FG-IR-24-029.

Si Fortinet a attribué la découverte de la CVE-2024-23113 à Gwendal Guégniaud de son équipe de sécurité des produits, il n’y a pas eu de reconnaissance publique pour la CVE-2024-21762.

Dans un billet de blog publié lundi, Merav Bar, chercheuse en menaces chez Wiz, a souligné que des cas d’exploitation de la CVE-2024-21762 ont été signalés dans la nature. Elle a ajouté que les organisations devraient appliquer des correctifs « de toute urgence » et a évoqué les risques pour les environnements en cloud.