Des produits de Fortinet touchés par une vulnérabilité d'exécution de code à distance
Fortinet a publié des mises à jour pour ses solutions de gestion de réseau FortiManager et FortiAnalyzer afin de corriger une vulnérabilité sérieuse qui pourrait être exploitée pour exécuter du code arbitraire avec les privilèges les plus élevés.
Les organisations peuvent utiliser ces produits pour gérer, déployer et configurer les appareils sur le réseau, ainsi que pour collecter et analyser les journaux générés afin d'identifier et d'éliminer les menaces.
La vulnérabilité en question, suivi sous la référence CVE-2021-32589, est de type UAF (use-after-free) dans le démon fgfmsd de FortiManager et FortiAnalyzer.
Fortinet indique que l'envoi d'une requête spécialement conçue au port "FGFM" d'un périphérique cible "peut permettre à un attaquant distant non authentifié d'exécuter du code non autorisé en tant que root."
La société souligne que FGFM est désactivé par défaut sur FortiAnalyzer et ne peut être activé que sur certains modèles de matériel : 1000D, 1000E, 2000E, 3000D, 3000E, 3000F, 3500E, 3500F, 3700F, 3900E.
Les produits affectés par CVE-2021-32589 sont les suivants :
- FortiManager et FortiAnalyzer versions 5.6.10 et inférieures.
- FortiManager et FortiAnalyzer versions 6.0.10 et inférieures.
- FortiManager et FortiAnalyzer versions 6.2.7 et inférieures.
- FortiManager et FortiAnalyzer versions 6.4.5 et inférieures.
- FortiManager et FortiAnalyzer version 7.0.0.
- FortiManager versions 5.4.x.
Si la mise à jour n'est pas possible, une solution de contournement consiste à désactiver les fonctionnalités de FortiManager sur l'unité FortiAnalyzer à l'aide de la commande suivante :
- config system global
- set fmg-status disable
Les administrateurs des produits mentionnés sont donc invités à consulter l'avis de sécurité et et à appliquer les mises à jour.