Bulletin d’alerte dans les produits Fortinet.

Bulletin d’alerte dans les produits Fortinet.

Le 12 juin 2023, Fortinet a publié un avis de sécurité concernant la vulnérabilité critique CVE-2023-27997. Celle-ci permet à un attaquant non authentifié d’exécuter du code arbitraire à distance sur des produits Fortinet qui proposent une fonctionnalité de VPN SSL. Dans une communication supplémentaire, Fortinet indique que cette vulnérabilité n’est exploitable que si la fonctionnalité VPN SSL est activée. De plus, celle-ci serait activement exploitée dans le cadre d’attaques ciblées.


Le code arbitraire, également connu sous le nom de code obscur ou de code spaghetti, est une pratique où le flux logique d'un programme devient difficile à suivre en raison de la complexité excessive de sa structure. Ce type de code peut résulter d'une mauvaise conception, de l'accumulation de correctifs sans structure claire, ou simplement d'un manque de compréhension du langage de programmation utilisé. Le code arbitraire rend la maintenance et la mise à jour du logiciel difficiles et augmente le risque d'erreurs. Pour éviter cela, il est essentiel de suivre des pratiques de programmation claires et de maintenir une structure logique dans le code.

Les pirates s'intéressent plus particulièrement aux vulnérabilités critiques des logiciels et des systèmes d'exploitation. Ces failles permettent généralement d'obtenir une élévations de privilège donnant des droits d'administrateur. Une situation qui permet d'autoriser l'exécution de code arbitraire à distance à l'insu des victimes. Ce sont particulièrement les failles de catégorie zero days qui sont ciblées en priorité du fait de leur absence de correctif. Le retard d'application des mises à jour des vulnérabilités présente aussi un risque potentiel de contrôle à distance non sollicité.

 

L’enquête de l’équipe Fortinet a révélé qu’un problème peut avoir été exploité dans un nombre limité de cas et travaillent en étroite collaboration avec ses clients pour surveiller la situation. Pour cette raison, si le client a activé SSL-VPN, Fortinet conseille aux clients de prendre des mesures immédiates pour mettre à niveau vers la version la plus récente du micrologiciel. Si le client n’utilise pas SSL-VPN, le risque de ce problème est atténué – cependant, Fortinet recommande toujours la mise à niveau.

Fortinet demande de suivre certaines recommandations suivantes : durcir FortiOS 7.2.0 Hardening Guide et minimiser la surface d’attaque en désactivant les fonctionnalités inutilisées et en gérant les appareils via une méthode hors bande dans la mesure du possible.


Fortinet est une multinationale américaine dont le siège social se situe à Sunnyvale. Elle conçoit et commercialise, entre autres, des logiciels, équipements et services de cybersécurité tels que des pare-feux, anti-virus, systèmes de prévention d’intrusion et de sécurité des terminaux. La Fortinet Security Fabric réunit les concepts de convergence et de consolidation afin de fournir une protection complète en matière de cybersécurité pour l'ensemble des utilisateurs, des appareils et des applications, et ce, sur toutes les périphéries de réseau.

Transport Layer Security (TLS) ou Sécurité de la couche de transport, et son prédécesseur Secure Sockets Layer (SSL), sont des protocoles de sécurisation des échanges sur Internet. Le protocole SSL a été développé à l'origine par Netscape. L'IETF en a poursuivi le développement en le rebaptisant Transport Layer Security (TLS).

On parle parfois de SSL/TLS pour désigner indifféremment SSL ou TLS. TLS (ou SSL) fonctionne suivant un mode client-serveur. Il permet de satisfaire aux objectifs de sécurité sur l'authentification du serveur, la confidentialité des données échangées (ou session chiffrée) et l'intégrité des données échangées.

Les CERT (Computer Emergency Response Teams) sont des centres d'alerte et de réaction aux attaques informatiques, destinés aux entreprises ou aux administrations, mais dont les informations sont généralement accessibles à tous. Les tâches prioritaires d'un CERT sont multiples. La centralisation des demandes d'assistance à la suite des incidents de sécurité sur les réseaux et les systèmes d'informations. Le traitement des alertes et réaction aux attaques informatiques. L'établissement et maintenance d'une base de donnée des vulnérabilités. La Prévention par diffusion d'informations. La coordination éventuelle avec les autres entités.

A propos de l'auteur

Retour en haut