L’Agence de sécurité des infrastructures et de la cybersécuritéLes solutions de cybersécurité sont essentielles à l’ère di… des États-Unis (CISA, selon ses sigles en anglais) a émis un avertissement urgent après avoir confirmé que des attaquants exploitent activement une vulnérabilité critique d’exécution de code à distance (RCE) dans FortiOS. Cette vulnérabilité, répertoriée sous le numéro CVE-2024-23113, affecte les dispositifs Fortinet non patchés et permet à des acteurs malveillants d’exécuter des commandes ou du code arbitraire sans authentification, par le biais d’attaques de faible complexité qui ne nécessitent aucune interaction de l’utilisateur.
La vulnérabilité réside dans le daemon fgfmd de Fortinet, chargé de gérer les demandes d’authentification et les messages de keep-alive entre FortiGate et FortiManager, entre autres tâches critiques comme la mise à jour des fichiers et des bases de données. Selon Fortinet, CVE-2024-23113 affecte plusieurs versions de ses produits, y compris FortiOS 7.0 et ultérieures, FortiPAM 1.0 et ultérieures, FortiProxy 7.0 et ultérieures, ainsi que FortiWeb 7.4.
Vulnérabilité grave et exploitation active
Le problème a été découvert et corrigé par Fortinet en février de cette année, moment où l’entreprise a recommandé aux administrateurs de supprimer l’accès au daemon fgfmd depuis toutes les interfaces, en tant que mesure de mitigation pour prévenir les attaques potentielles. Cependant, ces avertissements n’ont pas suffi, car la CISA a confirmé que les attaquants ont commencé à exploiter cette faille dans des dispositifs vulnérables.
Fortinet a également suggéré de mettre en œuvre des politiques locales pour limiter les connexions FGFM depuis des adresses IP spécifiques. Néanmoins, l’entreprise a averti que ce type de mesures ne fait que réduire la surface d’attaque, mais ne prévient pas l’exploitation si l’attaque provient d’une IP autorisée.
Agences fédérales obligées de patcher en trois semaines
Face à la menace croissante, la CISA a ajouté la vulnérabilité CVE-2024-23113 à son catalogue de Vulnérabilités Exploitées Connu et a ordonné aux agences fédérales des États-Unis de patcher leurs dispositifs FortiOS dans les trois prochaines semaines, c’est-à-dire avant le 30 octobre. Cette directive, BOD 22-01, a été mise en œuvre à l’origine en novembre 2021 en tant que mesure opérationnelle contraignante pour renforcer la cybersécurité dans les réseaux fédéraux.
« Ce type de vulnérabilités sont des vecteurs d’attaque fréquents pour les acteurs cybernétiques malveillants et représentent des risques significatifs pour l’infrastructure fédérale », a averti la CISA dans son communiqué.
Précédents inquiétants : attaques précédentes sur des dispositifs Fortinet
Ce n’est pas la première fois qu’une vulnérabilité dans FortiOS est exploitée par des cyberattaquants. En juin de cette année, le Service de renseignement et de sécurité militaire des Pays-Bas (MIVD) a signalé que des hackers chinois ont exploité une autre vulnérabilité critique dans FortiOS (CVE-2022-42475) entre 2022 et 2023. À cette occasion, au moins 20 000 dispositifs de sécurité réseau Fortigate ont été infectés par des logiciels malveillants, ce qui a mis en évidence la gravité des failles de sécurité dans ces systèmes.
L’exploitation active de CVE-2024-23113 souligne le besoin urgent pour les organisations de mettre à jour et de renforcer la sécurité de leurs dispositifs Fortinet. Les entreprises et les agences gouvernementales doivent agir rapidement pour atténuer les risques et éviter de tomber entre les mains d’acteurs malveillants qui pourraient exploiter ces vulnérabilités pour compromettre des réseaux critiques.
