Faille Critique dans FortiOS : Exploitation Active de CVE-2024-23113 et Mesures de Protection
Aujourd'hui, la CISA (Cybersecurity and Infrastructure Security Agency) a révélé qu'une vulnérabilité critique d'exécution de code à distance (RCE) dans FortiOS est activement exploitée par des attaquants.
Détails de la Vulnérabilité CVE-2024-23113
Identifiée comme CVE-2024-23113, cette faille se manifeste lorsque le démon fgfmd accepte une chaîne de format contrôlée par un acteur externe en tant qu'argument. Cela permet aux cyberattaquants non authentifiés d'exécuter des commandes ou du code arbitraire sur des dispositifs vulnérables qui n'ont pas été corrigés.
Le démon vulnérable fgfmd, utilisé par FortiGate et FortiManager, gère toutes les requêtes d'authentification et les messages de maintien de connexion entre ces dispositifs, ainsi que les actions en découlant. Les versions affectées incluent FortiOS 7.0 et ultérieures, FortiPAM 1.0 et plus, FortiProxy 7.0 et au-delà, et FortiWeb 7.4.
Mesures de Mitigation et Directives Fédérales
Fortinet a dévoilé cette faille en février dernier et a recommandé aux administrateurs de restreindre l'accès au démon fgfmd pour bloquer d'éventuelles attaques. Cependant, Fortinet précise qu'une politique locale qui limite les connexions FGFM à une adresse IP spécifique réduit la surface d'attaque, mais ne l'empêche pas complètement.
Face à l'exploitation active de cette vulnérabilité, la CISA a inscrit CVE-2024-23113 dans son catalogue des vulnérabilités exploitées connues. Les agences fédérales américaines ont désormais jusqu'au 30 octobre pour sécuriser leurs dispositifs FortiOS et éviter les risques accrus de cyberattaques.
Risques et Antécédents de FortiOS
Ce n'est pas la première fois que FortiOS est ciblé. En juin dernier, le MIVD (Service de renseignement militaire des Pays-Bas) avait mis en garde contre une exploitation d'une autre faille critique dans FortiOS (CVE-2022-42475) par des hackers chinois, ayant infecté plus de 20 000 dispositifs FortiGate avec des logiciels malveillants entre 2022 et 2023.
Les administrations et les entreprises utilisant des dispositifs Fortinet doivent impérativement procéder aux mises à jour pour éviter d'être exposées à de graves menaces de cybersécurité.
