CERTFR-2024-ALE-004_Vulnerabilite dans Fortinet FortiOS
Publié le 9 février 2024 à 17h58 - Mis à jour le 21 janvier 2025 à 10h58
Objet
Vulnérabilité dans Fortinet FortiOS
Référence
CERTFR-2024-ALE-004
Risque(s)
- Exécution de code arbitraire à distance
Systèmes affectés
- FortiOS versions 7.4.x antérieures à 7.4.3
- FortiOS versions 7.2.x antérieures à 7.2.7
- FortiOS versions 7.0.x antérieures à 7.0.14
- FortiOS versions 6.4.x antérieures à 6.4.15
- FortiOS versions 6.2.x antérieures à 6.2.16
- FortiOS 6.0 toutes versions
Résumé
Le 8 février 2024, Fortinet a publié l'avis de sécurité concernant la vulnérabilité critique CVE-2024-21762 affectant le VPN SSL de FortiOS. Cette vulnérabilité permet à un attaquant non authentifié de provoquer une exécution de code arbitraire à distance.
Fortinet indique que cette vulnérabilité serait potentiellement exploitée. Le CERT-FR recommande donc fortement d'appliquer le correctif dans les plus brefs délais.
Contournement provisoire
L'éditeur recommande de désactiver le VPN SSL si l'application du correctif n'est pas possible. Fortinet indique en effet que la désactivation de l'interface web n'est pas suffisante.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Fortinet FG-IR-24-015 du 08 février 2024 : https://www.fortiguard.com/psirt/FG-IR-24-015
- Avis CERT-FR CERTFR-2024-AVI-0108 du 09 décembre 2023 : https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0108/
- Référence CVE CVE-2024-21762 : https://www.cve.org/CVERecord?id=CVE-2024-21762