Véritable poison du management de la sécurité des systèmes d'information, le défaut de mise à jour de logiciels et de matériels informatiques doit être pris à bras le corps par les entreprises. Les clients de Fortinet utilisant des systèmes FortiOS et FortiProxy SSL-VPN doivent notamment redoubler de vigilance et s'assurer que leurs modèles ne sont pas concernés par une faille critique actuellement exploitée. Ayant fait l'objet d'un bulletin d'alerte le 12 juin dernier et identifiée en tant que CVE-2023-27997 (score CVSS 9.8) celle-ci ouvre la voie à des attaquants non authentifiés pour exécuter du code arbitraire à distance ou des commandes par le biais de requêtes spécifiquement élaborées.
Si le fournisseur de solutions de sécurité n'a pas communiqué sur le nombre de systèmes toujours non patchés et donc à risque à cette date, selon le spécialiste infosec Bishop Fox, sur les 490 000 interfaces Fortinet SSL-VPN exposées sur Internet, 69 % demeurent non corrigées soit 338 100 produits. Les versions des produits concernés par cette faille sont les suivants :
FortiProxy 1.1 et 1.2 (toutes versions), 2.0.0 à 2.0.12, 7.0.0 à 7.0.9 et 7.2.0 à 7.2.3 ;
FortiOS versions 6.0.0 à 6.0.16, 6.2.0 à 6.2.13, 6.4.0 à 6.4.12, 7.0.0 à 7.0.11 et 7.2.0 à 7.2.4 ;
FortiOS-6K7K versions 6.0.10, 6.0.12 à 6.0.16, 6.2.4, 6.2.6 à 6.2.7, 6.2.9 à 6.2.13, 6.4.2, 6.4.6, 6.4.8, 6.4.10, 6.4.12, 7.0.5 et 7.0.10.
Ces versions compromises des produits Fortinet - pouvant prendre aussi bien la forme d'appliances matérielles que logicielles (pare-feux FortiGate, passerelles virtualisées ou cloud) - doivent donc être mises à jour le plus rapidement possible en effectant les montées de version suivantes :
FortiProxy versions 2.0.13 ou ultérieure et 7.0.10 ou ultérieure ;
FortiOS versions 6.0.17 ou ultérieure, 6.2.14 ou ultérieure, 6.4.13 ou ultérieure, 7.0.12 ou ultérieure, 7.2.5 ou ultérieure, 7.4.0 ou ultérieure ;
FortiOS-6K7K versions 6.0.17 ou ultérieure, 6.2.15 ou ultérieure, 6.4.13 ou ultérieure et 7.0.12 ou ultérieure.
Fortinet recommande pour les utilisateurs qui ne peuvent pas encore mettre à jour leurs systèmes et qui ont en la possibilité, de désactiver le SSL-VPN de leurs produits non patchés. Reste à évaluer pour eux leur niveau de risque en perdant, même momentanément, cette fonction...