Attention, utilisateurs de Fortinet ! Les fournisseurs ont corrigé de nombreuses vulnérabilités de sécurité graves dans les dispositifs FortiADc et FortiTester de Fortinet. Les correctifs arrivent avec les dernières mises à jour du micrologiciel, ce qui incite les utilisateurs à mettre à jour leurs appareils respectifs.
Vulnérabilités de Fortinet FortiADC et FortiTester
Le géant de la cybersécurité Fortinet a récemment divulgué plusieurs vulnérabilités affectant ses produits. Les vulnérabilités touchaient généralement son FortiADC – contrôleur de livraison d'applications, et son FortiTester – matériel de test des périphériques réseau.
Les vendeurs n'ont pas partagé beaucoup de détails sur les failles de sécurité, mais ils ont tout de même brièvement décrit les problèmes à côté de la liste détaillée des produits affectés.
Plus précisément, Fortinet a mentionné avoir détecté plusieurs vulnérabilités d'injection de commandes dans l'interface Web de FortiADC.
Selon son avis, le bug existait en raison de la neutralisation incorrecte des éléments spéciaux utilisés dans une commande OS. L'exploitation de la faille pourrait permettre à un adversaire non authentifié accédant à l'interface Web d'exécuter des commandes via des requêtes HTTP spécialement conçues.
Fortinet a étiqueté la faille, CVE-2022-39947, comme une vulnérabilité de haute gravité qui a reçu un score CVSS de 8.6. Les produits concernés sont les versions FortiADC 7.0.0 à 7.0.1, 6.2.0 à 6.2.3, 5.4.0 à 5.4.5, et toutes les versions de FortiADC 6.1 et 6.0.
De même, les fournisseurs ont partagé un autre avis mettant en évidence les vulnérabilités du dispositif FortiTester. Comme décrit, ils ont détecté de nombreuses vulnérabilités d'injection de commande dans l'interface graphique et l'API en raison d'une neutralisation incorrecte des éléments spéciaux dans les commandes du système d'exploitation. L'exploitation de la faille pourrait permettre à un attaquant non authentifié d'exécuter des commandes arbitraires dans le shell.
Fortinet a décrit la vulnérabilité CVE-2022-35845 comme un problème de haute gravité (CVSS 7.6) affectant FortiTester 7.1.0, 7.0 toutes versions, 4.0.0 à 4.2.0, et 2.3.0 à 3.9.1.
Fortinet a publié les corrections de bogue
Le fournisseur de sécurité a remercié les membres de son équipe de sécurité des produits, Gwendal Guégniaud et Wilfried Djettchou, pour avoir découvert et signalé les vulnérabilités de FortiADC et FortiTester, respectivement.
Suite aux rapports de bogue, Fortinet a corrigé les vulnérabilités avec les mises à jour de produit suivantes. Les utilisateurs doivent donc passer aux versions suivantes pour recevoir les correctifs.
- FortiADC 7.0.2 ou supérieur, 6.2.4 ou supérieur, et 5.4.6 ou supérieur.
- FortiTester version 7.2.0 ou supérieure, 7.1.1 ou supérieure, 4.2.1 ou supérieure, et 3.9.2 ou supérieure.
Fais-nous part de tes impressions dans les commentaires.
