Bulletin de sécurité Fortinet du 07 juin 2022

Une vulnérabilité de traversée de chemin [CWE-22] dans FortiAP-U CLI peut permettre à un utilisateur administrateur de supprimer et d’accéder à des fichiers et des données non autorisés via des commandes CLI spécialement conçues. Une neutralisation incorrecte des entrées lors de la vulnérabilité de génération de page Web [CWE-79] dans FortiAuthenticator OWA Agent peut permettre à un attaquant non authentifié d’effectuer une attaque XSS via des requêtes HTTP GET spécialement conçues. Une vulnérabilité d’exécution avec des privilèges inutiles [CWE-250] dans FortiClientWindows peut permettre à un attaquant local d’effectuer une écriture de fichier arbitraire sur le système. (Sources)

Le cross-site scripting (abrégé XSS), est un type de faille de sécurité des sites web permettant d'injecter du contenu dans une page, permettant ainsi de provoquer des actions sur les navigateurs web visitant la page. Les possibilités des XSS sont très larges puisque l'attaquant peut utiliser tous les langages pris en charge par le navigateur (JavaScript, Java, Flash...) et de nouvelles possibilités sont régulièrement découvertes notamment avec l'arrivée de nouvelles technologies comme HTML5. Il est par exemple possible de rediriger vers un autre site pour de l'hameçonnage ou encore de voler la session en récupérant les cookies. En exploitant les failles critiques Zero-Day, les cybercriminels lancent des attaques XSS dans le but d'insérer des scripts malveillants dans les sites internet. Les navigateurs sont incapables de distinguer l'origine des balises malwares de celles qui sont légitimes. Cette action donne aux pirates un accès complet aux informations confidentielles enregistrées par les internautes dans l'historique et les cookies de navigation.


Une politique de sécurité informatique est un plan d'actions définies pour maintenir un certain niveau de sécurité. Elle reflète la vision stratégique de la direction de l'organisme (PME, PMI, industrie, administration, État, unions d'États…) en matière de sécurité informatique. Elle est liée à la sécurité de l'information. Elle définit les objectifs de sécurité des systèmes informatiques d'une organisation. Une politique de sécurité informatique est une stratégie visant à maximiser la sécurité informatique d’une entreprise. Elle est matérialisée dans un document qui reprend l’ensemble des enjeux, objectifs, analyses, actions et procédures faisant parti de cette stratégie. La stratégie qui vise à maximiser la sécurité informatique d’une entreprise se matérialise par un document qui regroupe les objectifs, les enjeux et les actions qu'elle doit mettre en œuvre. En complément de la politique de sécurité informatique, les entreprises se dotent d'une charte informatique qui établie des recommandations spécifiques au niveau des technologies informatiques. Certaines cyberattaques réussissent en contournant ou diminuant les politiques de sécurité. Le CERT et le CISA préconisent le comblement immédiat des correctifs des failles critiques et plus particulièrement ceux qui concernent les vulnérabilités de catégorie Zero Day.

Multiples vulnérabilités dans les produits Fortinet. De multiples vulnérabilités ont été découvertes dans les produits Fortinet. Certaines d’entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un contournement de la politique de sécurité et une atteinte à l’intégrité des données. (Sources)

Le code arbitraire est employé pour nommer, en parlant de piratage informatique, une action à faire faire à une machine sans que le propriétaire soit d'accord. Par exemple, en utilisant un exploit, le code arbitraire peut ouvrir une session super-utilisateur sur une machine distante, ou modifier une base de données, ou plus généralement donner accès à une information non disponible. Les pirates s'intéressent plus particulièrement aux vulnérabilités critiques des logiciels et des systèmes d'exploitation. Ces failles permettent généralement d'obtenir une élévations de privilège donnant des droits d'administrateur. Une situation qui permet d'autoriser l'exécution de code arbitraire à distance à l'insu des victimes. Ce sont particulièrement les failles de catégorie zero days qui sont ciblées en priorité du fait de leur absence de correctif. Le retard d'application des mises à jour des vulnérabilités présente aussi un risque potentiel de contrôle à distance non sollicité.


De manière générale, l'intégrité des données désigne l'état de données qui, lors de leur traitement, de leur conservation ou de leur transmission, ne subissent aucune altération ou destruction volontaire ou accidentelle, et conservent un format permettant leur utilisation. L'intégrité des données comprend quatre éléments : l'intégralité, la précision, l'exactitude/authenticité et la validité. L'intégrité est l'une des exigences de base de la sécurité informatique, de la gestion documentaire et de l'archivistique. L'intégrité physique concerne le matériel et les moyens mis en œuvre en matière de stockage, de sauvegarde et de récupération des données. L'intégrité logique se base sur la conservation des données relationnelles dans une base de données.


Fortinet est une multinationale américaine dont le siège social se situe à Sunnyvale. Elle conçoit et commercialise, entre autres, des logiciels, équipements et services de cybersécurité tels que des pare-feux, anti-virus, systèmes de prévention d’intrusion et de sécurité des terminaux. La Fortinet Security Fabric réunit les concepts de convergence et de consolidation afin de fournir une protection complète en matière de cybersécurité pour l'ensemble des utilisateurs, des appareils et des applications, et ce, sur toutes les périphéries de réseau.