Accueil > Alertes du CERT-MC et du CERT-FR > Vulnérabilité dans les produits Fortinet

Vulnérabilité dans les produits Fortinet

Référence : CERT-FR-2022-ALE-011

Risque(s)

- Exécution de code arbitraire à distance
- Contournement de la politique de sécurité

Systèmes affectés

- FortiOS versions 7.2.x antérieures à 7.2.2
- FortiOS versions 7.0.x antérieures à 7.0.7
- FortiProxy versions 7.2.x antérieures à 7.2.1
- FortiProxy versions 7.0.x antérieures à 7.0.7
- FortiSwitchManager versions 7.x antérieures à 7.2.1

Résumé

Le 07 octobre 2022, des informations ont circulé concernant l’existence d’une vulnérabilité critique dans les produits Fortinet. Le 11 octobre 2022, l’éditeur a publié un avis de sécurité détaillant l’existence d’une vulnérabilité permettant à un attaquant non authentifié de pouvoir réaliser des actions au travers de l’interface d’administration.

L’éditeur indique que cette vulnérabilité a fait l’objet d’une attaque ciblée.

Le 13 octobre 2022, des chercheurs ont publié un rapport détaillé ainsi qu'une preuve de concept. Depuis cette publication, le CERT-FR constate que des variations de ce code d'exploitation sont publiquement disponibles.

Le CERT-FR anticipe des exploitations en masse de la vulnérabilité CVE-2022-40684, d'autant plus que de nombreuses interfaces d’administration de produits Fortinet sont exposées sur Internet.

L'exposition d'une interface de gestion sur Internet est contraire aux bonnes pratiques. Dans le cas où l’administration à distance est impératif, une première mesure temporaire peut consister à restreindre l'accès à des adresses ip de confiance. Il cependant conseillé de suivre les recommandations du guide publié par l'ANSSI pour la sécurisation de l'administration du SI [1].

Contournement provisoire

Dans son avis de sécurité (cf. section Documentation), Fortinet détaille la procédure pour désactiver l'interface d’administration ou restreindre son accès à des adresses ip de confiance.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

L'application seule des correctifs n'est pas suffisante. En effet, si un attaquant a exploité la vulnérabilité avant leur application, il a pu déposer une porte dérobée qui lui permettra de se connecter ultérieurement au système. A titre d'exemple, les codes d’exploitation observés jusqu'ici déposent une clé publique SSH.

D'autres méthodes d'attaques, permettant, entre autres, des fuites de données ou une exécution de code arbitraire, ne sont pas à exclure.

Les tentatives d'exploitation liées à ces codes publics peuvent être détectées en vérifiant, dans les journaux de l'équipement, la présence d'un "User-Agent" égal à "Report Runner" ou "Node.js", ainsi que la présence du motif "127.0.0.1" dans le champ "Forwarded".

Ces marqueurs préliminaires sont fournis à titre indicatif et ne sont pas exhaustifs.

Documentation

- Avis CERT-FR CERTFR-2022-AVI-894 du 11 octobre 2022 https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-894/  
- Bulletin d'actualité CERT-FR CERTFR-2022-ACT-044 du 11 octobre 2022 https://www.cert.ssi.gouv.fr/actualite/CERTFR-2022-ACT-044/  
- Bulletin de sécurité Fortinet FG-IR-22-377 du 10 octobre 2022
https://www.fortiguard.com/psirt/FG-IR-22-377  
- Référence CVE CVE-2022-40684
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-40684  
- Le guide d'hygiène informatique
https://www.ssi.gouv.fr/uploads/2017/01/guide_hygiene_informatique_anssi.pdf  
- [1] Recommandations relatives à l’administration sécurisée des systèmes d’information https://www.ssi.gouv.fr/administration/guide/securiser-ladministration-des-systemes-dinformation/  
- Les bons réflexes en cas d’intrusion sur un système d’information https://www.cert.ssi.gouv.fr/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/  

Dernière version de ce document

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2022-ALE-011/  

 

 

CERTFR-2024-ALE-015_Vulnérabilité sur l'interface de management des équipements Palo Alto Networks

18 novembre 2024
actualite

ObjetVulnérabilité sur l'interface de management des équipements Palo Alto NetworksRéférenceCERTFR-2024-ALE-015Risques Exécution de code arbitrai... Lire la suite[+]

CERTFR-2024-ALE-014_Vulnérabilité dans Fortinet FortiManager

23 octobre 2024
actualite

ObjetVulnérabilité dans Fortinet FortiManagerRéférenceCERTFR-2024-ALE-014Risques Exécution de code arbitraire à distance FortiManager Cloud vers... Lire la suite[+]

Contact

Agence Monégasque de Sécurité Numérique
24 rue du Gabian 
98000 MONACO

AMSN_contact@gouv.mc

Téléphone : (+377) 98 98 24 93


Bouton Alertes CSIRT-MC


       INFORMATIONS            PRATIQUES
Demande d'autorisation loi n°1.383
Sécurité Nationale
Conseils élémentaires
//amsn.gouv.mc/Alertes-du-CERT-MC-et-du-CERT-FR/Vulnerabilite-dans-les-produits-Fortinet2