Vulnérabilité touchant FortiGate/FortiOS (CVE-2023-27997)

Numéro : AL23-006
Date: 12 juin 2023

Auditoire

La présente alerte s’adresse aux professionnelles et professionnels et aux gestionnaires des TI œuvrant au sein des organismes avisés.

Objet

Une alerte a pour objet de prévenir les destinataires que des cybermenaces ont été relevées récemment et que celles-ci pourraient toucher les biens d’information électronique. Elle vise également à leur fournir des conseils supplémentaires en matière de détection et d’atténuation. Le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) est en mesure d’offrir, aux destinataires qui en font la demande, une assistance complémentaire concernant la teneur de la présente alerte.

Détails

Le 10 juin 2023, le Centre pour la cybersécurité a pris connaissance d’un rapport de source ouverte selon lequel on prévoyait la divulgation d’une vulnérabilité touchant le composant SSL-VPN sur les appliances FortiGate le 13 juin 2023 ^{Note de bas de page 1}. Le 11 juin, d’autres signalements de source ouverte ont confirmé ces affirmations, l’un provenant d’un chercheur de menaces et l’autre provenant de l’organisation qu’il représente. ^{Note de bas de page 2}^{Note de bas de page 3}

Le 11 juin 2023, BleepingComputer a publié un article contenant des citations de ce chercheur, lesquelles indiquent que la vulnérabilité touche le composant SSL-VPN de FortiGATE/FortiOS et pourrait mener à l’exécution de code à distance. Le chercheur prétend que la vulnérabilité peut être exploitée sans authentification et qu’il serait possible de contourner l’authentification multifacteur. ^{Note de bas de page 4}

Selon une source ouverte, le numéro d’identification CVE-2023 27997 a été attribué à cette vulnérabilité ^{Note de bas de page 5}

Mesures recommandées

Cette vulnérabilité peut être exploitée si les appareils FortiGate non corrigés autorisent les connexions externes au service SSL-VPN. Jusqu’à ce que le correctif puisse être appliqué, Fortinet recommande de désactiver le service SSL-VPN temporairement.

Par ailleurs, le Centre pour la cybersécurité recommande fortement aux organisations de dresser la liste des appareils Fortinet qui ont besoin d’être mis à jour afin de remédier à cette vulnérabilité. Le 9 juin 2023, Fortinet a publié une mise à jour concernant les versions suivantes de FortiOS; les informations publiquement disponibles affirment que ces mises à jour permettent de corriger la vulnérabilité :

Les organisations devraient consulter et mettre en œuvre les 10 mesures de sécurité des TI ^{Note de bas de page 6} du Centre pour la cybersécurité, en particulier celles liées aux sujets suivants :

l’intégration, la surveillance et la défense des passerelles Internet;
l’application de correctifs aux applications et aux systèmes d’exploitation;
l’isolement des applications Web.

S’ils relèvent des activités semblables aux informations fournies dans la présente alerte, les destinataires sont invités à le signaler par l’entremise de Mon cyberportail ou par courriel à contact@cyber.gc.ca.