Accueil > Alertes du CERT-MC et du CERT-FR > CERTFR-2024-ALE-004_Vulnerabilite dans Fortinet FortiOS

CERTFR-2024-ALE-004_Vulnerabilite dans Fortinet FortiOS

Objet : Vulnérabilité dans Fortinet FortiOS
Référence : CERTFR-2024-ALE-004

Risque(s)

- Exécution de code arbitraire à distance

Systèmes affectés

- FortiOS versions 7.4.x antérieures à 7.4.3
- FortiOS versions 7.2.x antérieures à 7.2.7
- FortiOS versions 7.0.x antérieures à 7.0.14
- FortiOS versions 6.4.x antérieures à 6.4.15
- FortiOS versions 6.2.x antérieures à 6.2.16
- FortiOS 6.0 toutes versions

Résumé

Le 8 février 2024, Fortinet a publié l'avis de sécurité concernant la vulnérabilité critique CVE-2024-21762 affectant le VPN SSL de FortiOS. Cette vulnérabilité permet à un attaquant non authentifié de provoquer une exécution de code arbitraire à distance.

Fortinet indique que cette vulnérabilité serait potentiellement exploitée. Le CERT-FR recommande donc fortement d'appliquer le correctif dans les plus brefs délais.

Contournement provisoire

L'éditeur recommande de désactiver le VPN SSL si l'application du correctif n'est pas possible. Fortinet indique en effet que la désactivation de l'interface web n'est pas suffisante.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- Bulletin de sécurité Fortinet FG-IR-24-015 du 08 février 2024
https://www.fortiguard.com/psirt/FG-IR-24-015  
- Avis CERT-FR CERTFR-2024-AVI-0108 du 09 décembre 2023
https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0108/  
- Référence CVE CVE-2024-21762
https://www.cve.org/CVERecord?id=CVE-2024-21762  

Dernière version de ce document: https://www.cert.ssi.gouv.fr/alerte/CERTFR-2024-ALE-004/  

 

 

CERTFR-2024-ALE-005_Vulnerabilite dans Microsoft Outlook

15 février 2024
actualite

Objet : Vulnérabilité dans Microsoft OutlookRéférence : CERTFR-2024-ALE-005Risque(s) - Exécution de code arbitraire à distance- Atteinte à la confi... Lire la suite[+]

CERTFR-2024-ALE-003_Multiples vulnerabilites affectant la solution Anydesk

05 février 2024
actualite

Objet : Multiples vulnérabilités affectant la solution AnydeskRéférence : CERTFR-2024-ALE-003Risque(s)- Prise de contrôle à distance par un acteur... Lire la suite[+]

Contact

Agence Monégasque de Sécurité Numérique
24 rue du Gabian 
98000 MONACO

AMSN_contact@gouv.mc

Téléphone : (+377) 98 98 24 93


Bouton Alertes CSIRT-MC


       INFORMATIONS            PRATIQUES
Demande d'autorisation loi n°1.383
Conseils élémentaires
//amsn.gouv.mc/Alertes-du-CERT-MC-et-du-CERT-FR/CERTFR-2024-ALE-004_Vulnerabilite-dans-Fortinet-FortiOS