Numéro : AL24-003
Date : 11 octobre 2024
Auditoire
La présente alerte s'adresse aux professionnelles et professionnels et aux gestionnaires des TI.
Objet
Une alerte a pour objet de prévenir les destinataires que des cybermenaces ont été relevées récemment et que celles-ci pourraient toucher les biens d'information électronique. Elle vise également à leur fournir des conseils supplémentaires en matière de détection et d'atténuation. Le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) est en mesure d'offrir, aux destinataires qui en font la demande, une assistance complémentaire concernant la teneur de la présente alerte.
Détails
Le 8 février 2024, le Centre pour la cybersécurité a été informé de vulnérabilités touchant plusieurs versions de Fortinet FortiOS. En réponse à cette information, le Centre pour la cybersécurité a publié le bulletin AV24 074 le 9 février 2024Note de bas de page 1.
Fortinet signale que la CVE-2024-21762 est une vulnérabilité d'écriture hors limite dans le service SSL-VPN qui peut permettre à une auteure ou à un auteur de menace distant non authentifié d'exécuter du code ou des commandes arbitraires au moyen de requêtes HTTP conçues à cet effetote de bas de page 2. Fortinet a indiqué qu'il se peut que cette vulnérabilité ait été exploitée dans la nature.
Une deuxième vulnérabilité considérable (CVE-2024-23113) a été signalée. Il s'agit d'un bogue de chaîne de format dans le protocole FortiGate-FortiManager (fgfmd) de FortiOS. Cette vulnérabilité peut permettre à une auteure ou à un auteur de menace distant non authentifié d'exécuter du code ou des commandes arbitraires au moyen de requêtes conçues à cet effetNote de bas de page 3. Fortinet n'a pas indiqué que cette vulnérabilité avait été exploitée.
Le 9 février 2024, la Cybersecurity and Infrastructure Security Agency (CISA) a mis à jour son catalogue des vulnérabilités exploitées connues (KEV pour Known Exploited Vulnerabilities) en réponse à la vulnérabilité CVE-2024-21762 d'écriture hors limite touchant Fortinet FortiOSote de bas de page 4.
Mise à jour 1
Fortinet a mis à jour ses bulletins de sécuritéNote de bas de page 2Note de bas de page 3 pour ajouter d'autres produits touchés et pour indiquer que les deux vulnérabilités ont été exploitées. Le Centre pour la cybersécurité a noté les produits additionnels touchés dans la section Mesures recommandées ci-dessous.
Le 9 octobre 2024, la CISA a publié une déclarationNote de bas de page 6 pour indiquer que la vulnérabilité CVE-2024-23113 était exploitée activement dans la nature et qu'elle l'avait ajoutée à son catalogue de vulnérabilités exploitées connues (KEV)Note de bas de page 4.
Mesures Recommandées
À titre de solution de contournement temporaire pour la vulnérabilité CVE-2024-21762, Fortinet recommande de désactiver le service SSL-VPN jusqu'à ce que le correctif soit prêtNote de bas de page 2.
En ce qui a trait à la vulnérabilité CVE-2024-23113, Fortinet recommande également aux organisations d'évaluer si elles ont vraiment besoin d'exposer le démon fgfm (port 541) à Internet pour les connexions entrantes, jusqu'à ce que le correctif soit diffuséNote de bas de page 3.
Par ailleurs, le Centre pour la cybersécurité recommande fortement aux organisations de dresser la liste des appareils Fortinet qui ont besoin d'être mis à jour afin de remédier à ces vulnérabilités.
Version :
- FortiOS 7.6 - Touchée : Non touchée - Solution : Sans objet
- FortiOS 7.4 - Touchée : 7.4.0 à 7.4.2 - Solution : Mettre à niveau à 7.4.3 ou ultérieure
- FortiOS 7.2 - Touchée : 7.2.0 à 7.2.6 - Solution : Mettre à niveau à 7.2.7 ou ultérieure
- FortiOS 7.0 - Touchée : 7.0.0 à 7.0.13 - Solution : Mettre à niveau à 7.0.14 ou ultérieure
- FortiOS 6.4 - Touchée : 6.4.0 à 6.4.14 - Solution : Mettre à niveau à 6.4.15 ou ultérieure
- FortiOS 6.2 - Touchée : 6.2.0 à 6.2.15 - Solution : Mettre à niveau à 6.2.16 ou ultérieure
- FortiOS 6.0 - Touchée : 6.0 toutes les versions - Solution : Migrer vers une version corrigée
- FortiPAM 1.3 - Touchée : Non touchée - Solution : Sans objet
- FortiPAM 1.2 - Touchée : 1.2 toutes les versions - Solution : Migrer vers une version corrigée
- FortiPAM 1.1 - Touchée : 1.1 toutes les versions - Solution : Migrer vers une version corrigée
- FortiPAM 1.0 - Touchée : 1.0 toutes les versions - Solution : Migrer vers une version corrigée
- FortiProxy 7.4 - Touchée : 7.4.0 à 7.4.2 - Solution : Mettre à niveau à 7.4.3 ou ultérieure
- FortiProxy 7.2 - Touchée : 7.2.0 à 7.2.8 - Solution : Mettre à niveau à 7.2.9 ou ultérieure
- FortiProxy 7.0 - Touchée : 7.0.0 à 7.0.15 - Solution : Mettre à niveau à 7.0.16 ou ultérieure
- FortiProxy 2.0 - Touchée : 2.0.0 à 2.0.13 - Solution : Mettre à niveau à 2.0.14 ou ultérieure
- FortiProxy 1.2 - Touchée : 1.2 toutes les versions - Solution : Migrer vers une version corrigée
- FortiProxy 1.1 - Touchée : 1.1 toutes les versions - Solution : Migrer vers une version corrigée
- FortiProxy 1.0 - Touchée : 1.0 toutes les versions - Solution : Migrer vers une version corrigée
- FortiWeb 7.4 - Touchée : 7.4.0 à 7.4.2 - Solution : Mettre à niveau à 7.4.3 ou ultérieure
Les organisations devraient consulter et mettre en œuvre les 10 mesures de sécurité des TINote de bas de page 5 du Centre pour la cybersécurité, en particulier celles liées aux sujets suivants :
- l'intégration, la surveillance et la défense des passerelles Internet;
- l'application de correctifs aux applications et aux systèmes d'exploitation;
- l'isolement des applications Web.
Si les destinataires relèvent des activités semblables aux informations fournies dans la présente alerte, ils sont invités à le signaler par l'entremise de Mon cyberportail ou par courriel à contact@cyber.gc.ca.
Rapports de Partenaires
ACSC - Critical Vulnerability in FortiOS (en anglais seulement)
NCSC-NZ - Cyber Security Alert: CVEs affecting FortiOS SSL VPN (en anglais seulement)