Multiples vulnérabilités dans les produits Fortinet

La pile TCP du noyau Linux dans différents produits Fortinet contient plusieurs vulnérabilités. Ces dernières concernent la gestion de la segmentation et permettent à un attaquant distant d’effectuer des attaques de type déni de service. 

CVE-2019-11477 [CVSS 7.5]: Le noyau Linux est vulnérable à un débordement d'entier dans la structure mémoire TCP_SKB_CB(skb)->tcp_gso_segs contenant le nombre de segments d’un flux TCP (Transmission Control Protocol). Cette vulnérabilité se produit lorsque le résultat d'une opération mathématique ne peut être représenté dans l'espace mémoire alloué. Un attaquant distant pourrait utiliser cette vulnérabilité pour provoquer un déni de service.

CVE-2019-11478 [CVSS 7.5]: Le noyau Linux contient une faille dans le mécanisme de retransmission TCP. L’utilisation de Selective Acknowledgements (SACKs) permet à un client de spécifier explicitement les numéros de segments non reçus. Cependant, le traitement de ce type d'acquittement est coûteux en ressources et peut être exploité par un attaquant pour provoquer un déni de service.

CVE-2019-11479 [CVSS 7.5]: Un attaquant peut forcer le noyau Linux d’un serveur à segmenter ses réponses en plusieurs segments TCP de taille réduite (ex: 8 octets). Cela a pour conséquence d’augmenter considérablement la bande passante nécessaire pour répondre aux requêtes. Un attaquant distant pourrait exploiter cette vulnérabilité pour saturer la bande passante et provoquer un déni de service. Cette attaque exige un effort continu de la part de l'attaquant et les impacts prendront fin peu après que l'attaquant aura cessé d'envoyer du trafic.

Informations
+

Risques

  • Déni de service. 

Criticité

  • Score CVSS : 7.5 

Existence d’un code d’exploitation de la vulnérabilité

  • Aucun

Composants & versions vulnérables

Les produits suivants sont potentiellement touchés par CVE-2019-11477 :

  • FortiAnalyzer
  • FortiAP
  • FortiSwitch

Les produits suivants sont potentiellement touchés par CVE-2019-11478 :

  • FortiGate
  • FortiAnalyzer
  • FortiAP
  • FortiSwitch

Les produits suivants sont potentiellement touchés par CVE-2019-11479:

  • FortiGate
  • FortiAnalyzer
  • FortiAP
  • FortiSwitch

CVE

  • CVE-2019-11477
  • CVE-2019-11478
  • CVE-2019-11479

Recommandations
+

Mise en place de correctifs de sécurité

  • Mettre à jour FortiAnalyzer : pour les versions 6.0.x : Mettre à jour en version 6.0.7 ou supérieure
  • Mettre à jour FortiAP : pour les versions 6.2.x : Mettre à jour en version 6.2.1 ou supérieure

Solution de contournement

Solution de contournement pour FortiSwitch :

La solution pour FortiSwitch est de bloquer les connexions avec de faibles valeurs MSS (Maximum Segment Size).  

Les versions 3.6.11 et supérieures ; 6.0.5 et supérieures et 6.2.2 et supérieures supportent les commandes CLI suivantes qui permettent à l'administrateur de configurer une valeur MSS minimale. Cette valeur est à adapter en fonction de l’environnement.

FortiGuard Labs fournit ici des commandes permettant de configurer une valeur MSS minimale.

Solution de contournement pour FortiGate :

La signature IPS Linux.Kernel.TCP.TCP.SACK.Panic.DoS (https://www.fortiguard.com/encyclopedia/ips/48103/linux-kernel-tcp-sack-panic-dos) peut être utilisée pour bloquer les connexions avec de petites valeurs MSS (par défaut inférieures à 60 octets).

La valeur MSS peut être modifiée par le client à une valeur plus appropriée à son environnement.