Fortinet met en garde contre un bug RCE critique dans le logiciel de gestion des points de terminaison
Fortinet a corrigé une vulnérabilité critique dans son logiciel FortiClient Enterprise Management Server (EMS) qui peut permettre aux attaquants d’obtenir l’exécution de code à distance (RCE) sur des serveurs vulnérables.
FortiClient EMS permet aux administrateurs de gérer les points de terminaison connectés à un réseau d’entreprise, leur permettant ainsi de déployer le logiciel FortiClient et d’attribuer des profils de sécurité sur les appareils Windows.
La faille de sécurité (CVE-2023-48788) est une injection SQL dans le composant DB2 Administration Server (DAS), qui a été découverte et signalée par le National Cyber Security Center (NCSC) du Royaume-Uni et le développeur Fortinet Thiago Santana.
Il affecte les versions 7.0 (7.0.1 à 7.0.10) et 7.2 (7.2.0 à 7.2.2) de FortiClient EMS et permet à des attaquants non authentifiés d’obtenir des privilèges RCE avec des privilèges SYSTEM sur des serveurs non corrigés dans le cadre d’attaques de faible complexité qui ne le font pas. nécessitent une interaction de l’utilisateur.
« Une neutralisation inappropriée des éléments spéciaux utilisés dans une vulnérabilité de commande SQL (« SQL Injection ») [CWE-89] dans FortiClientEMS peut permettre à un attaquant non authentifié d’exécuter du code ou des commandes non autorisés via des requêtes spécialement conçues », a expliqué la société dans un avis de sécurité publié mardi.
Fortinet n’a pas révélé s’il disposait de preuves d’exploitation du CVE-2023-48788 lors d’attaques avant la mise à jour du correctif.
L’équipe d’attaque d’Horizon3 confirmé la gravité critique du bug aujourd’hui et ont déclaré qu’ils publieraient un code d’exploitation de preuve de concept et une analyse technique approfondie la semaine prochaine.
Mardi, la société a corrigé une autre faiblesse critique d’écriture hors limites (CVE-2023-42789) dans le portail captif FortiOS et FortiProxy qui pourrait permettre à un « attaquant interne » non authentifié d’exécuter à distance du code ou des commandes non autorisés sur un site non corrigé à l’aide d’un protocole HTTP malveillant. demandes.
Deux autres failles de haute gravité, un contrôle d’accès inapproprié (CVE-2023-36554) dans FortiWLM MEA pour FortiManager et une injection CSV (CVE-2023-47534) dans FortiClient EMS, corrigées cette semaine, permettent aux acteurs malveillants d’exécuter des commandes arbitraires ou code sur les systèmes vulnérables.
Le mois dernier, Fortinet a révélé un bug critique d’exécution de code à distance (RCE) (CVE-2024-21762) dans le système d’exploitation FortiOS et le proxy Web sécurisé FortiProxy, que la société a qualifié de « potentiellement exploité à l’état sauvage ».
Un jour plus tard, la CISA a confirmé l’exploitation active du CVE-2024-21762 et a ordonné aux agences fédérales de sécuriser leurs appareils FortiOS et FortiProxy dans un délai de sept jours.
Les failles de Fortinet sont régulièrement exploitées pour pirater les réseaux d’entreprise lors d’attaques de ransomwares et de campagnes de cyberespionnage (souvent jusqu’à zéro jour).
Par exemple, Fortinet a révélé en février que le groupe de piratage chinois Volt Typhoon avait utilisé deux failles VPN SSL FortiOS (CVE-2022-42475 et CVE-2023-27997) pour déployer le cheval de Troie d’accès à distance personnalisé (RAT) Coathanger, précédemment utilisé pour détourner un site malveillant. réseau militaire du ministère néerlandais de la Défense.