Numéro : AL23-006
Date: 6 juillet 2023
Auditoire
La présente alerte s’adresse aux professionnelles et professionnels et aux gestionnaires des TI œuvrant au sein des organismes avisés.
Objet
Une alerte a pour objet de prévenir les destinataires que des cybermenaces ont été relevées récemment et que celles-ci pourraient toucher les biens d’information électronique. Elle vise également à leur fournir des conseils supplémentaires en matière de détection et d’atténuation. Le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) est en mesure d’offrir, aux destinataires qui en font la demande, une assistance complémentaire concernant la teneur de la présente alerte.
Détails
Le 10 juin 2023, le Centre pour la cybersécurité a pris connaissance d’un rapport de source ouverte selon lequel on prévoyait la divulgation d’une vulnérabilité touchant le composant SSL-VPN sur les appliances FortiGate le 13 juin 2023 Note de bas de page 1. Le 11 juin, d’autres signalements de source ouverte ont confirmé ces affirmations, l’un provenant d’un chercheur de menaces et l’autre provenant de l’organisation qu’il représente. Note de bas de page 2Note de bas de page 3
Le 11 juin 2023, BleepingComputer a publié un article contenant des citations de ce chercheur, lesquelles indiquent que la vulnérabilité touche le composant SSL-VPN de FortiGATE/FortiOS et pourrait mener à l’exécution de code à distance. Le chercheur prétend que la vulnérabilité peut être exploitée sans authentification et qu’il serait possible de contourner l’authentification multifacteur. Note de bas de page 4
Selon une source ouverte, le numéro d’identification CVE-2023 27997 a été attribué à cette vulnérabilité Note de bas de page 5
Mise à jour 1
Le 12 juin 023, Fortinet a publié le bulletin de sécurité FG-IR-23-097 décrivant la vulnérabilité CVE-2023-27997, divulguée à l’origine dans des sources ouvertesNote de bas de page 7. Fortinet signale qu’une vulnérabilité de dépassement de mémoire tampon du tas dans le composant SSL-VPN de FortiOS et FortiProxy pourrait permettre à une auteure ou un auteur de menace distant d’exécuter du code ou des commandes arbitraires à l’aide de requêtes conçues à cet effet. Fortinet signale également que la vulnérabilité pourrait être exploitée dans un nombre limité de casNote de bas de page 8. Le 13 juin, la Cybersecurity and Infrastructure Security Agency (CISA) a mis à jour le Known Exploited Vulnerabilities Catalog pour tenir compte de l’exploitation connue de cette vulnérabilité.Note de bas de page 9
La liste des produits touchés a été mise à jour ci-dessous pour tenir compte des correctifs que recommande Fortinet.
Mise à jour 2
Le 30 juin 2023, des chercheurs de Bishop Fox ont signalé qu’un nombre important d’appareils Fortinet vulnérables sont toujours accessibles par Internet et ont présenté une validation de principe de la vulnérabilitéNote de bas de page 10. Le 5 juillet 2023, le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) a effectué une évaluation et déterminé qu’un certain nombre d’organisations au Canada continuent d’utiliser les appliances Fortinet qui sont vulnérables à CVE-2023-27997. On encourage fortement les organisations à examiner tous leurs dispositifs Fortinet dotés du service SSL-VPN et à confirmer que ceux qui n’avaient pas été corrigés ont été isolés et mis à jour.
Mesures recommandées
Cette vulnérabilité peut être exploitée si les appareils Fortinet non corrigés autorisent les connexions externes au service SSL-VPN. Jusqu’à ce que le correctif puisse être appliqué, Fortinet recommande de désactiver le service SSL-VPN temporairement.
Le Centre pour la cybersécurité recommande fortement aux organisations d’appliquer les correctifs aux dispositifs Fortinet vulnérables. Le 12 juin 2023, Fortinet a publié le bulletin FG-IR-23-097Note de bas de page 7 dans lequel sont indiqués les produits touchés suivants et les correctifs recommandés :
- FortiOS-6K7K version 6.4.13 ou version ultérieure
- FortiOS-6K7K version 6.2.15 ou version ultérieure
- FortiOS-6K7K version 6.0.17 ou version ultérieure
- FortiProxy version 7.2.4 ou version ultérieure
- FortiProxy version 7.0.10 ou version ultérieure
- FortiOS version 7.4.0 ou version ultérieure
- FortiOS version 7.2.5 ou version ultérieure
- FortiOS version 7.0.12 ou version ultérieure
- FortiOS version 6.4.13 ou version ultérieure
- FortiOS version 6.2.14 ou version ultérieure
- FortiOS version 6.0.17 ou version ultérieure
Les organisations devraient consulter et mettre en œuvre les 10 mesures de sécurité des TI Note de bas de page 6 du Centre pour la cybersécurité, en particulier celles liées aux sujets suivants :
- l’intégration, la surveillance et la défense des passerelles Internet;
- l’application de correctifs aux applications et aux systèmes d’exploitation;
- l’isolement des applications Web.
S’ils relèvent des activités semblables aux informations fournies dans la présente alerte, les destinataires sont invités à le signaler par l’entremise de Mon cyberportail ou par courriel à contact@cyber.gc.ca.