Fortinet patch des failles critiques dans FortiProxy et FortiWeb

0

Fortinet a corrigé plusieurs vulnérabilités graves affectant ses produits.

Les vulnérabilités vont de l’exécution de code à distance à l’injection SQL, en passant par le déni de service (DoS) et ont un impact sur les produits FortiProxy SSL VPN et FortiWeb Web Application Firewall.

Certaines vulnérabilités ont été signalées il y’a 2 ans à Fortinet

Plusieurs avis publiés par FortiGuard Labs ce mois-ci et en Janvier 2021 mentionnent diverses vulnérabilités critiques que Fortinet a corrigées dans ses produits.

Certaines de ces vulnérabilités présentées ci-dessous avaient déjà été signalées dans d’autres produits Fortinet, mais n’ont été corrigées que récemment dans les versions de FortiProxy VPN SSL présentées ci-dessous.

ID CVEType de vulnérabilitéProduits ImpactésVersions PatchéesDate de première publicationDate de Correction
CVE-2018-13383Déni de Service, Exécution de code distanceFortiProxy SSL VPN 2.0.0 et antérieures, 1.2.8 et antérieures, 1.1.6 et antérieures, 1.0.7 antérieures.FortiProxy SSL VPN >= 2.0.1 et >= 1.2.9.2 Avril 20191er Février 2021
CVE-2018-13381Déni de serviceFortiProxy SSL VPN  2.0.0 et antérieures, 1.2.8 et antérieures, 1.1.6 et antérieures, 1.0.7 et antérieures.FortiProxy SSL VPN >= 2.0.1 et >= 1.2.9.17 Mai 20191er Février 2021
CVE-2020-29015Injection SQLFortiWeb  6.3.7 et antérieures,  6.2.3 et antérieures.FortiWeb >= 6.3.8, >= 6.2.44 Jan 20214 Jan 2021
CVE-2020-29016Exécution de code à distanceFortiWeb 6.3.5 et antérieures,  6.2.3 et antérieuresFortiWeb >= 6.3.6, >= 6.2.44 Jan 20214 Jan 2021
CVE-2020-29017Exécution de code à distanceFortiDeceptor  3.1.0 et antérieures,  3.0.1 et antérieures.FortiDeceptor >= >= 3.2.0, 3.1.1, >= 3.0.24 Jan 20214 Jan 2021
CVE-2020-29018Exécution de code à distanceFortiWeb 6.3.5 et antérieuresFortiWeb >= 6.3.6J4 Jan 20214 Jan 2021
CVE-2020-29019Déni de serviceFortiWeb  6.3.7 et antérieures, 6.2.3 et antérieuresFortiWeb >= 6.3.8, >= 6.2.44 Jan 20214 Jan 2021

Il convient de noter en particulier la vulnérabilité CVE-2018-13381 dans FortiProxy SSL VPN qui peut être déclenchée par un acteur distant non authentifié via une requête POST spécialement conçue.

En raison d’un dépassement de mémoire tampon dans le portail SSL VPN de FortiProxy, une requête POST spécialement conçue de grande taille, lorsqu’elle est reçue par le produit, est capable de le planter, conduisant à une condition de déni de service (DoS).

De même, CVE-2018-13383 est intéressant car un attaquant peut en abuser pour déclencher un débordement dans le VPN via la propriété de contenu HREF de JavaScript.

Si une page Web conçue par un attaquant et contenant la charge utile JavaScript est analysée par FortiProxy SSL VPN, l’exécution de code à distance est possible, en plus du déni de service.

Alors que les vulnérabilités rendues publiques en Janvier 2021 rendent possibles l’injection SQL, l’exécution de code à distance et le déni de service de différentes manières.

Des vulnérabilités dans le pare-feu d’applications Web FortiWeb ont été découvertes et signalées de manière responsable par le chercheur Andrey Medov de Positive Technologies.

« Les plus dangereuses de ces quatre vulnérabilités sont l’injection SQL (CVE-2020-29015) et le débordement de tampon (CVE-2020-29016) car leur exploitation ne nécessite pas d’autorisation. »

« La première vous permet d’obtenir le hachage du compte d’administrateur système en raison de privilèges d’utilisateur SGBD excessifs, ce qui vous donne accès à l’API sans déchiffrer la valeur de hachage. »

« La seconde permet l’exécution de code arbitraire. De plus, la vulnérabilité de chaîne de format (CVE-2020-29018) peut également permettre l’exécution de code, mais son exploitation nécessite une autorisation », explique Medov dans un article de blog.

De plus, Meh Chang et Orange Tsai de l’équipe de recherche sur la sécurité DEVCORE ont été reconnus pour avoir signalé de manière responsable les failles de FortiProxy SSL VPN.

Alors que la vulnérabilité d’exécution de code distance de FortiDeceptor a été signalée par Chua Wei Kiat.

Des vulnérabilités critiques présentées comme « Moyennes »

Il convient de noter que bon nombre de ces vulnérabilités ont été évaluées par le NVD comme ayant un niveau de gravité élevé ou critique, conformément aux directives de notation CVSS 3.1.

Cependant, il n’est pas clair pourquoi ces failles sont marquées comme représentant une menace moyenne dans les avis publiés par FortiGuard Labs.

Par exemple, la faille de sécurité d’injection SQL dans FortiWeb peut être exploitée par un individu non authentifié pour exécuter des requêtes ou des commandes SQL arbitraires via des requêtes Web contenant des instructions SQL malveillantes injectées dans l’en-tête Authorization.

C’est peut-être pour cette raison que le NVD lui a attribué une sévérité critique avec un score CVSS 3.1 de 9,8, par opposition à un score moyen (6,4) rapporté par Fortinet.

fortinet

Il y’a d’autres écarts de score similaires pour d’autres vulnérabilités patchées par Fortinet.

L’année dernière, des pirates avaient publié une liste de près de 50 000 VPN Fortinet vulnérables à une faille Path Traversal vieille de plusieurs années.

Certains de ces VPN étaient utilisés activement par les gouvernements, les télécoms, les banques et les organisations financières du monde entier.

À la suite de la publication de cette liste, la même semaine, un autre pirate informatique avait publié les informations d’identification en texte brut de ces 50 000 VPN sur les forums de pirates.

Il est donc conseillé aux clients de Fortinet de passer à des versions patchées de leurs produits dès que possible pour se protéger contre ces vulnérabilités critiques.

Si cet article vous a plu, jetez un œil à notre article précédent.

Vous pourriez aussi aimer
Laisser un commentaire

Votre adresse email ne sera pas publiée.