CERTFR-2024-ALE-004_Vulnerabilite dans Fortinet FortiOS

Objet : Vulnérabilité dans Fortinet FortiOS
Référence : CERTFR-2024-ALE-004

Risque(s)

- Exécution de code arbitraire à distance

Systèmes affectés

- FortiOS versions 7.4.x antérieures à 7.4.3
- FortiOS versions 7.2.x antérieures à 7.2.7
- FortiOS versions 7.0.x antérieures à 7.0.14
- FortiOS versions 6.4.x antérieures à 6.4.15
- FortiOS versions 6.2.x antérieures à 6.2.16
- FortiOS 6.0 toutes versions

Résumé

Le 8 février 2024, Fortinet a publié l'avis de sécurité concernant la vulnérabilité critique CVE-2024-21762 affectant le VPN SSL de FortiOS. Cette vulnérabilité permet à un attaquant non authentifié de provoquer une exécution de code arbitraire à distance.

Fortinet indique que cette vulnérabilité serait potentiellement exploitée. Le CERT-FR recommande donc fortement d'appliquer le correctif dans les plus brefs délais.

Contournement provisoire

L'éditeur recommande de désactiver le VPN SSL si l'application du correctif n'est pas possible. Fortinet indique en effet que la désactivation de l'interface web n'est pas suffisante.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- Bulletin de sécurité Fortinet FG-IR-24-015 du 08 février 2024
https://www.fortiguard.com/psirt/FG-IR-24-015  
- Avis CERT-FR CERTFR-2024-AVI-0108 du 09 décembre 2023
https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0108/  
- Référence CVE CVE-2024-21762
https://www.cve.org/CVERecord?id=CVE-2024-21762  

Dernière version de ce document: https://www.cert.ssi.gouv.fr/alerte/CERTFR-2024-ALE-004/