Pour gérer vos consentements :
Categories: Sécurité

Gestion des vulnérabilités : FBI, CISA et Fortinet alertent

La menace est élevée. Des vulnérabilités connues dans FortiOS, le système d’exploitation de Fortinet embarqué dans des appliances (FortiGate), sont exploitées par des attaquants. Et ce pour accéder aux réseaux de services gouvernementaux et commerciaux.

Le Bureau fédéral d’enquête (FBI) et l’Agence américaine de sécurité des infrastructures et de cybersécurité (CISA) ont publié une alerte de sécurité à ce sujet.

Trois failles sont concernées :

C’est notamment le cas de la vulnérabilité CVE-2018-13379 qui affecte les systèmes FortiOS lorsque le service VPN SSL est activé. Par ce biais, des attaquants non authentifiés peuvent accéder aux fichiers systèmes via des requêtes HTTP, et obtenir un accès à des informations sensibles, dont les identifiants d’utilisateurs.

Par ailleurs, la faille CVE-2019-5591 est une vulnérabilité de la configuration par défaut dans FortiOS. Elle peut permettre à un attaquant distant et non authentifié d’intercepter des informations sensibles en se faisant passer pour le serveur LDAP.

Enfin, la vulnérabilité CVE-2020-12812 permet de contouner le processus d’authentification à deux facteurs dans le service VPN SSL de FortiOS. Elle est due à un défaut de traitement de la casse du nom d’utilisateur.

Correctifs et mises à jour

Les trois vulnérabilités sont connues de longue date, mais les correctifs que propose l’éditeur logiciel de Sunnyvale (Californie) ne sont pas forcément appliqués par les organisations.

Or, l’alerte du FBI et du CISA intervient à la suite de communications publiques multiples de Fortinet concernant la nécessité de mettre à niveau. Le fournisseur de solutions de sécurité réseau et terminaux l’a réaffirmé début avril 2021 dans un billet de blog.

« Appliquez les correctifs et les mises à jour de sécurité », exhortent les parties. En Europe, le CERT-FR a lui-même rappelé l’hiver dernier que « seule l’application de la mise à jour permet de [se] prémunir contre l’exploitation de la vulnérabilité correspondante ».

(crédit photo © Shutterstock)

Recent Posts

PC : le segment entreprise reste solide

Le segment entreprise du marché PC mondial est resté solide au troisième trimestre 2021, malgré…

11 heures ago

Kubernetes managés : Civo et Scaleway ouvrent les vannes

En marge de la KubeCon North America, Scaleway et Civo ont annoncé la disponibilité générale…

12 heures ago

Canon : des pratiques trompeuses sur les MFP jet d’encre ?

Canon fait face à une tentative de recours collectif aux États-Unis. Motif : l'impossibilité d'utiliser…

16 heures ago

SecNumCloud : ce que l’ANSSI veut changer

Cryptologie, sauvegarde, télémaintenance, conformité, lois extracommunautaires... Comment l'ANSSI entend-elle faire évoluer le référentiel SecNumCloud ?

18 heures ago

Assurances cyber : les pistes du rapport Faure-Muntian

Certifications, rançons, coordination de l'écosystème... L'Assemblée nationale esquisse une première série de proposition pour les…

3 jours ago

SaaS : pourquoi gaspiller près d’un tiers des budgets ?

Optimiser les dépenses SaaS n'est pas une option, mais une priorité pour les équipes en…

3 jours ago