Fortinet corrige une faille critique d’exécution de la commande à distance FortiNAC.

La société de solutions de cybersécurité Fortinet a mis à jour sa solution d’accès zéro confiance FortiNAC pour résoudre une vulnérabilité de gravité critique que les attaquants pourraient exploiter pour exécuter du code et des commandes. FortiNAC permet aux organisations de gérer les politiques d’accès à l’échelle du réseau, d’obtenir une visibilité sur les appareils et les utilisateurs et de sécuriser le réseau contre les accès non autorisés et les menaces.

FortiNAC est une solution d’accès Zero Trust qui supervise et protège tous les actifs numériques connectés au réseau de l’entreprise, couvrant les appareils informatiques, IoT, OT/ICS et IoMT. Avec un contrôle d’accès réseau qui améliore la Fortinet Security Fabric, FortiNAC offre visibilité, contrôle et réponse automatisée pour tout ce qui se connecte au réseau. FortiNAC fournit une protection contre les menaces IoT, étend le contrôle aux périphériques réseau tiers et orchestre la réponse automatique à un large éventail d’événements réseau.

Multiples vulnérabilités dans les produits Fortinet. De multiples vulnérabilités ont été découvertes dans les produits Fortinet. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance et un contournement de la politique de sécurité.

Le code arbitraire est employé pour nommer, en parlant de piratage informatique, une action à faire faire à une machine sans que le propriétaire soit d'accord. Par exemple, en utilisant un exploit, le code arbitraire peut ouvrir une session super-utilisateur sur une machine distante, ou modifier une base de données, ou plus généralement donner accès à une information non disponible. Les pirates s'intéressent plus particulièrement aux vulnérabilités critiques des logiciels et des systèmes d'exploitation. Ces failles permettent généralement d'obtenir une élévations de privilège donnant des droits d'administrateur. Une situation qui permet d'autoriser l'exécution de code arbitraire à distance à l'insu des victimes. Ce sont particulièrement les failles de catégorie zero days qui sont ciblées en priorité du fait de leur absence de correctif. Le retard d'application des mises à jour des vulnérabilités présente aussi un risque potentiel de contrôle à distance non sollicité.

Une politique de sécurité informatique est un plan d'actions définies pour maintenir un certain niveau de sécurité. Elle reflète la vision stratégique de la direction de l'organisme (PME, PMI, industrie, administration, État, unions d'États…) en matière de sécurité informatique. Elle est liée à la sécurité de l'information. Elle définit les objectifs de sécurité des systèmes informatiques d'une organisation. Une politique de sécurité informatique est une stratégie visant à maximiser la sécurité informatique d’une entreprise. Elle est matérialisée dans un document qui reprend l’ensemble des enjeux, objectifs, analyses, actions et procédures faisant parti de cette stratégie. La stratégie qui vise à maximiser la sécurité informatique d’une entreprise se matérialise par un document qui regroupe les objectifs, les enjeux et les actions qu'elle doit mettre en œuvre. En complément de la politique de sécurité informatique, les entreprises se dotent d'une charte informatique qui établie des recommandations spécifiques au niveau des technologies informatiques. Certaines cyberattaques réussissent en contournant ou diminuant les politiques de sécurité. Le CERT et le CISA préconisent le comblement immédiat des correctifs des failles critiques et plus particulièrement ceux qui concernent les vulnérabilités de catégorie Zero Day.

CVE-2023-33299. Une neutralisation inappropriée d’éléments spéciaux utilisés dans une vulnérabilité de commande dans le service FortiNAC tcp/5555 peut permettre à un attaquant non authentifié de copier des fichiers locaux de l’appareil vers d’autres répertoires locaux de l’appareil via des champs de saisie. Pour accéder aux données copiées, cependant, l’attaquant doit avoir un pied déjà existant sur l’appareil avec des privilèges suffisants. Fortinet a le plaisir de remercier Florian Hauser de CODE WHITE pour avoir signalé cette vulnérabilité dans le cadre de la divulgation responsable.

Fortinet est une multinationale américaine dont le siège social se situe à Sunnyvale. Elle conçoit et commercialise, entre autres, des logiciels, équipements et services de cybersécurité tels que des pare-feux, anti-virus, systèmes de prévention d’intrusion et de sécurité des terminaux. La Fortinet Security Fabric réunit les concepts de convergence et de consolidation afin de fournir une protection complète en matière de cybersécurité pour l'ensemble des utilisateurs, des appareils et des applications, et ce, sur toutes les périphéries de réseau.

Bleeping Computer est un site Web couvrant l'actualité technologique et offrant une aide informatique gratuite via ses forums, qui a été créé par Lawrence Abrams en 2004. Avec plus de 700 000 membres enregistrés qui posent des questions et y répondent, BleepingComputer.com est devenu une communauté dynamique et animée de personnes partageant les mêmes idées.