Retour sur la vulnérabilité XORtigate (CVE-2023-27997) : que sait-on aujourd’hui ?

Le 12 juin 2023, Fortinet communiquait autour d’une nouvelle vulnérabilité impactant son VPN Fortigate. Après quelques jours, il est temps de faire un retour sur ce que nous connaissons de cette CVE.

Retour sur la temporalité de la vulnérabilité :

Décembre 2022 : A la suite de la découverte de la vulnérabilité CVE-2022-42475 , Fortinet lance un audit complet de sa solution VPN SSL Fortigate par la société Lexfo.

A l’issu de cet audit, six vulnérabilités sont identifiées. Parmi elles, la vulnérabilité CVE-2023-27997  présente un score CVSS supérieur à 9.

  • 8 juin 2023 : Fortinet publie un correctif concernant ces vulnérabilités, sans mentionner cette faille critique.
  • 12 juin 2023 : Une première communication publique est faite sur le site de Fortinet. Les emplacements des 6 CVE sont réservés.
  • 13 juin 2023 : Fortinet publie des informations plus précises sur ces six vulnérabilités. Lexfo rend également public les détails de son investigation.
  • 14 juin 2023 : les vulnérabilités sont encore présentées en attente d’analyse sur le site du NIST/MITR.

Pourquoi une telle criticité ?

 La vulnérabilité permet à un attaquant d’exécuter du code à distance, et ce sans authentification préalable.

A l’aide d’une requête spécialement créée, un attaquant peut :

  • Entrainer la mise hors service du VPN SSL Fortigate (déni de service, si la requête est mal configurée).
  • Exécuter des commandes arbitraires sur le système, afin d’en prendre le contrôle total et ainsi agir directement avec le système d’information attaqué (en récupérant des accès utilisateurs par exemple)

Bien que la vulnérabilité demande un niveau technique avancé pour être exploitée, le grand nombre de versions impactées, le type d’équipement concerné et le nombre d’équipement exposés sur Internet justifient un score cvss aussi élevé.

D’où provient la vulnérabilité ?

La vulnérabilité provient d’un manque de vérification sur le type et la taille d’une variable, pouvant être exploité afin de provoquer un dépassement de tampon.

Cette variable est obtenue à partir de données fournies directement par l’utilisateur, ce qui permet à un attaquant d’envoyer les données de son choix à l’équipement ciblé.

La société Lexfo a publié plus de détails sur la vulnérabilité et son exploitation sur son blog (en anglais) ainsi que des IOC.

Alors que faire ?

La seule contre-mesure pour se prémunir d’une telle vulnérabilité est d’installer la dernière version de Fortigate :

  • FortiOS 6.0.17 pour les versions 6.0.X
  • FortiOS 6.2.15 pour les versions 6.2.X
  • FortiOS 6.4.13 pour les versions 6.4.X
  • FortiOS 7.0.12 pour les versions 7.0.X
  • FortiOS 7.2.5 pour les versions 7.2.X

CERT-XMCO

Découvrir d'autres articles