Fortinet a corrigé des vulnérabilités critiques dans son Wireless LAN Manager (FortiWLM) qui pourraient conduire à l’exécution de code à distance (RCE) non authentifié et à la divulgation d’informations sensibles. L’adresse des correctifs publiés CVE-2023-34990 et CVE-2023-48782qui, lorsqu’ils sont exploités ensemble, peuvent accorder aux attaquants un accès non autorisé. Les experts soulignent l’urgence pour les clients de mettre à niveau leurs systèmes.
Fortinet corrige des vulnérabilités critiques dans Wireless LAN Manager
Le bug identifié, CVE-2023-34990, a un score CVSS de 9,6 et a été divulgué pour la première fois en mars 2023. Il est classé comme « vulnérabilité de lecture de fichier limitée non authentifiée ». Zach Hanley, chercheur en sécurité chez Horizon3.ai, a signalé que la vulnérabilité provenait d’une validation d’entrée inadéquate sur les paramètres de demande. Cette faille permet aux attaquants de parcourir des répertoires et d’accéder à n’importe quel fichier journal du système, révélant potentiellement des informations sensibles telles que les identifiants de session utilisateur. Ces journaux sont particulièrement détaillés dans FortiWLM, ce qui augmente le risque en cas d’exploitation.
La National Vulnerability Database (NVD) décrit comment cette vulnérabilité peut conduire à l’exécution de code non autorisé via des requêtes Web spécialement conçues. Les versions FortiWLM concernées incluent les versions 8.6.0 à 8.6.5, qui ont été corrigées dans la version 8.6.6 et supérieure, et les versions 8.5.0 à 8.5.4, corrigées dans la version 8.5.5 ou supérieure. Étant donné l’importance de Fortinet en tant que cible des cyberattaques, l’impératif d’une mise à jour rapide des correctifs ne peut être surestimé.
Le botnet BADBOX infecte plus de 192 000 appareils Android dans le monde
Outre CVE-2023-34990, une vulnérabilité distincte, CVE-2023-48782, joue également un rôle critique dans la chaîne d’exploitation. Cette faille d’injection de commandes authentifiée a un score CVSS de 8,8 et a été corrigée l’année précédente. Hanley note que, combiné à une vulnérabilité non authentifiée, un attaquant peut exécuter des commandes malveillantes avec les privilèges root en injectant des commandes via un point de terminaison spécifique, compromettant ainsi davantage le système.
Kaspersky a signalé exploitation continue d’une autre vulnérabilité dans FortiClient EMS de Fortinet, en particulier CVE-2023-48788qui a un score CVSS de 9,3. Cette vulnérabilité d’injection SQL permet aux attaquants d’envoyer des paquets de données spécialement conçus, leur permettant d’exécuter du code non autorisé. La société de cybersécurité a documenté une attaque en octobre 2024 ciblant un serveur Windows hébergeant FortiClient EMS. L’attaque a exploité les ports ouverts pour prendre le contrôle du serveur, conduisant à l’installation de logiciels de bureau à distance tels qu’AnyDesk et ScreenConnect.
Après la violation initiale, les attaquants auraient téléchargé des charges utiles supplémentaires pour les mouvements latéraux, la collecte d’informations d’identification et l’établissement de la persistance sur le système compromis. Les outils utilisés dans cette campagne comprenaient des logiciels malveillants pour la récupération de mots de passe et l’analyse du réseau, comme Mimikatz et netscan.exe. La campagne aurait ciblé diverses entreprises dans plusieurs pays, révélant la portée mondiale et la sophistication de ces cybermenaces.
Kaspersky a observé d’autres tentatives de militarisation du CVE-2023-48788, notamment l’exécution de scripts PowerShell à partir de serveurs compromis pour recueillir les réponses d’autres cibles vulnérables. Cet effort témoigne de l’évolution des méthodologies d’attaque et des risques persistants pour les organisations utilisant les produits Fortinet. Les premières révélations de Forescout plus tôt dans l’année signalé un modèle d’exploitation similaire impliquant la même vulnérabilité pour fournir des outils d’accès à distance.
Les organisations utilisant les systèmes Fortinet doivent donner la priorité à la mise à niveau et à l’application de correctifs à leurs équipements afin d’atténuer les risques associés à ces vulnérabilités. On ne sait toujours pas dans quelle mesure ces vulnérabilités ont déjà été exploitées à l’échelle mondiale, ce qui rend essentiel que les administrateurs restent vigilants.
Crédit image en vedette : Kerem Gülen/Milieu du voyage
