Fortinet recommande vivement à ses clients de corriger leurs appareils contre une vulnérabilité FortiOS SSL-VPN activement exploitée qui pourrait permettre l’exécution de code à distance non authentifié sur les appareils.
« Une vulnérabilité de débordement de mémoire tampon basée sur le tas [CWE-122] dans FortiOS SSL-VPN peut permettre à un attaquant distant non authentifié d’exécuter du code ou des commandes arbitraires via des requêtes spécifiquement conçues, » prévient Fortinet dans un avis de sécurité publié aujourd’hui.
Fortinet a discrètement corrigé le bug le 28 novembre lors de la sortie de FortiOS 7.2.3.
Fortinet a publié aujourd’hui l’avis de sécurité FG-IR-22-398, avertissant que la vulnérabilité a été activement exploitée dans des attaques et que tous les utilisateurs devraient mettre à jour les versions suivantes pour corriger le bogue.
FortiOS version 7.2.3 ou supérieure FortiOS version 7.0.9 ou supérieure FortiOS version 6.4.11 ou supérieure FortiOS version 6.2.12 ou supérieure FortiOS-6K7K version 7.0.8 ou supérieure FortiOS-6K7K version 6.4.10 ou supérieure FortiOS-6K7K version 6.2.12 ou supérieure FortiOS-6K7K version 6.0.15 ou supérieure.
Bien que Fortinet n’ait pas fourni d’informations sur la manière dont la faille est exploitée, l’entreprise a partagé des IOC liés à des attaques.