Résumé
Le 12 juin 2023, Fortinet a publié un avis de sécurité concernant la
vulnérabilité CVE-2023-27997. Celle-ci permet à un attaquant non
authentifié d'exécuter du code arbitraire à distance sur des produits
Fortinet qui proposent une fonctionnalité de VPN SSL.
Dans une communication supplémentaire (cf. section Documentation),
Fortinet indique que cette vulnérabilité n'est exploitable que si la
fonctionnalité VPN SSL est activée. De plus, celle-ci serait
activement exploitée dans le cadre d'attaques ciblées.
Le CERT-FR a connaissance d'une preuve de concept disponible
publiquement. En l'état, le code permet uniquement un déni de service à
distance. Le CERT-FR recommande donc d'appliquer le correctif,
disponible depuis le 9 juin 2023, dans les meilleurs délais.
La communication supplémentaire [1] de Fortinet contient également des
recommandations utiles concernant la recherche de marqueurs de
compromission, le durcissement de l'équipement ainsi que le rappel de
bonnes pratiques de sécurité.
Solution
L'application seule des correctifs n'est pas suffisante. Il est
fortement recommandé :
- d'effectuer une analyse des systèmes, en cas de suspicion de
compromission, il est recommandé de continuer les investigations
afin de déterminer les actions prises par un éventuel attaquant
[2];
- d'appliquer les mesures de durcissement fournies par l'éditeur et de
respecter les bonnes pratiques de sécurité.
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des
correctifs (cf. section Documentation).