Fortinet signale une vulnérabilité potentiellement très grave qui est activement exploitée, bien qu’elle semble initialement ne pas avoir l’intention de communiquer à ce sujet.
Les clients de Fortinet devraient lire cette nouvelle très attentivement. Le spécialiste de la sécurité communique sur une vulnérabilité dans FortiManager, la plateforme de gestion centrale des produits Fortinet. Une authentification manquante permet à des tiers de se connecter à FortiManager sans vérification d’identité et d’exécuter à distance un code malveillant dans la plateforme via des requêtes spécialement conçues », écrit Fortinet.
Les attaquants peuvent s’introduire dans le réseau à partir du FortiManager. La vulnérabilité (CVE-2024-47575) se voit donc attribuer un score CVSS presque maximal de 9,8. Pour souligner la gravité de la situation, Fortinet indique que la vulnérabilité est activement exploitée. Selon les estimations des experts, au moins 60 000 clients de Fortinet sont vulnérables.
La vulnérabilité touche plusieurs versions de FortiManager et FortiManager Cloud. Vérifiez dans le bulletin de Fortinet si vous utilisez une version vulnérable et vers quelle version vous pouvez vous mettre à jour afin d’être à nouveau en sécurité.
Silence
Dans un premier temps, Fortinet ne semblait pas avoir l’intention de communiquer publiquement sur cette vulnérabilité. La faille a été révélée via Reddit, par un client qui se demandait pourquoi Fortinet avait déployé une mise à jour de FortiManager. Les notes de publication publiques indiquent qu’« aucun problème résolu n’a été signalé ». Les clients ont été informés en privé à la mi-octobre.
La décision de Fortinet de ne pas communiquer publiquement tout de suite a été critiquée, notamment par l’expert en sécurité Kevin Beaumont. Fortinet affirme avoir gardé la vulnérabilité sous le radar pour protéger ses clients, mais selon Kevin Beaumont, l’entreprise voulait surtout se protéger elle-même.
« Je ne suis pas convaincu que l’argument de Fortinet selon lequel la société protège ses clients en ne divulguant pas publiquement une vulnérabilité protège effectivement les clients. Cette vulnérabilité est largement exploitée depuis un certain temps. Elle ne protège personne en n’étant pas transparente, sauf peut-être elle-même », écrit Beaumont dans son blog.
Sans doute, Fortinet ne voulait pas être à nouveau au cœur de l’actualité négative. Le spécialiste de la sécurité a connu une année difficile, avec de multiples vulnérabilités affectant les clients de l’entreprise. Petite cerise sur le gâteau, Fortinet elle-même a été piratée cette année.