ALERTE de CYBERSECURITE SOC ITrust Niveau 5 : Une nouvelle vulnérabilité a été découverte concernant les solutions Fortinet
juin 2023 par Itrust
ALERTE de CYBERSECURITE SOC ITrust Niveau 5 : Une nouvelle vulnérabilité a été découverte concernant les solutions Fortinet
Une nouvelle vulnérabilité a été découverte concernant les solutions Fortinet.
Fortinet a signalé une vulnérabilité identifiée sous le nom de CVE-2023-27997.
Elle concerne les produits Fortinet qui proposent une fonctionnalité de VPN SSL : elle permet à un attaquant non authentifié d’exécuter du code à distance sur ces appareils.
Elle est actuellement exploitée dans des attaques ciblées.
Même si cette vulnérabilité ne peut être exploitée que si la fonctionnalité VPN SSL est activée, il est important de prendre des mesures de sécurité pour protéger les systèmes concernés.
Versions affectées :
• FortiOS versions 7.2.x antérieures à 7.2.5
• FortiOS versions 7.0.x antérieures à 7.0.12
• FortiOS versions 6.4.x antérieures à 6.4.13
• FortiOS versions 6.2.x antérieures à 6.2.14
• FortiOS versions 6.0.x antérieures à 6.0.17
• FortiOS-6K7K versions 6.0.x antérieures à 6.0.17
• FortiOS-6K7K versions 6.2.x antérieures à 6.2.15
• FortiOS-6K7K versions 6.4.x antérieures à 6.4.13
• FortiOS-6K7K versions 7.0.x antérieures à 7.0.12
• FortiProxy versions antérieures à 7.0.10
• FortiProxy versions 7.2.x antérieures à 7.2.4
Potentielles conséquences :
• Exécution de code arbitraire à distance
Recommandations :
• Effectuer une analyse des systèmes.
• Appliquer les mesures de durcissement fournies par l’éditeur et respecter les bonnes pratiques de sécurité.
• Se référer au bulletin de sécurité de l’éditeur pour l’obtention des correctifs.
Sources et documentation :
• https://www.cert.ssi.gouv.fr/alerte/CERTFR-2023-ALE-004/
• Bulletin de sécurité FG-IR-23-097
https://www.fortiguard.com/psirt/FG-IR-23-097
• Communication de Fortinet sur la vulnérabilité CVE-2023-27997 du 12 juin 2023
https://www.fortinet.com/blog/psirt-blogs/analysis-of-cve-2023-27997-and-clarifications-on-volt-typhoon-campaign
• Avis CERT-FR CERTFR-2023-AVI-0451 du 13 juin 2023
https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0451/
• Référence CVE CVE-2023-27997
https://www.cve.org/CVERecord?id=CVE-2023-27997
Recommandations complémentaires :
> Utilisez les dispositifs de sécurité du SI : SIEM, EDR ou contactez votre prestataire de supervision de votre cybersécurité (SOC managé).
> Ne pas laissez ce type de services exposés et sans protection. ITrust vous propose des outils pour détecter les cybermenaces, ransomwares, virus, et comportements anormaux au sein de votre SI, comme notre SIEM Reveelium UEBA.
> Scannez régulièrement votre réseau, afin de détecter les failles de sécurité et les correctifs à appliquer. Notre scanner de vulnérabilité IKare, disponible en version d’essai gratuite, permet de détecter les nouvelles failles de sécurité.
> Si vous avez besoin d’aide pour corriger ces failles, appelez-nous au 05 67 34 67 80 ou contactez-nous.
Classification du niveau des alertes SOC :
Niveau 1 - Bénin : Les incidents de ce niveau sont considérés comme mineurs, ayant peu d’impact. Ils peuvent être rapidement résolus et ne nécessitent pas une attention immédiate du personnel du SOC.
Niveau 2 - Bas : Les incidents de ce niveau ont un impact limité. Ils nécessitent une résolution plus approfondie, mais n’ont pas d’impact majeur sur la sécurité globale.
Niveau 3 - Moyen : Les incidents de ce niveau ont un impact modéré. Ils requièrent une réponse immédiate du SOC. Ces incidents peuvent avoir des conséquences importantes s’ils ne sont pas traités rapidement.
Niveau 4 - Élevé : Les incidents de ce niveau ont un impact significatif. Ils présentent un risque de perturbations importantes, de pertes de données sensibles ou d’atteintes à la confidentialité. Ils nécessitent une réponse rapide et coordonnée du SOC.
Niveau 5 - Critique : Les incidents de ce niveau ont un impact critique. Ils représentent une menace grave pour la sécurité globale et peuvent entraîner des conséquences majeures.