Professional Documents
Culture Documents
Certfr 2022 Ale 011
Certfr 2022 Ale 011
Gestion du document
Référence CERTFR-2022-ALE-011
Titre Vulnérabilité dans les produits Fortinet
Date de la première version 14 octobre 2022
Date de la dernière version 14 octobre 2022
Bulletin de sécurité Fortinet FG-IR-22-377 du 10
Source(s)
octobre 2022
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document
Risque(s)
Exécution de code arbitraire à distance
Contournement de la politique de sécurité
Systèmes affectés
FortiOS versions 7.2.x antérieures à 7.2.2
FortiOS versions 7.0.x antérieures à 7.0.7
FortiProxy versions 7.2.x antérieures à 7.2.1
FortiProxy versions 7.0.x antérieures à 7.0.7
Résumé
Le 07 octobre 2022, des informations ont circulé concernant l’existence d’une vulnérabilité
critique dans les produits Fortinet. Le 11 octobre 2022, l’éditeur a publié un avis de sécurité
détaillant l’existence d’une vulnérabilité permettant à un attaquant non authentifié de pouvoir
réaliser des actions au travers de l’interface d’administration.
L’éditeur indique que cette vulnérabilité a fait l’objet d’une attaque ciblée.
Le 13 octobre 2022, des chercheurs ont publié un rapport détaillé ainsi qu'une preuve de
concept. Depuis cette publication, le CERT-FR constate que des variations de ce code
d'exploitation sont publiquement disponibles.
L'exposition d'une interface de gestion sur Internet est contraire aux bonnes pratiques. Dans le
cas où l’administration à distance est impératif, une première mesure temporaire peut consister à
restreindre l'accès à des adresses ip de confiance. Il cependant conseillé de suivre les
recommandations du guide publié par l'ANSSI pour la sécurisation de l'administration du SI [1].
Contournement provisoire
Dans son avis de sécurité (cf. section Documentation), Fortinet détaille la procédure pour
désactiver l'interface d’administration ou restreindre son accès à des adresses ip de confiance.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section
Documentation).
L'application seule des correctifs n'est pas suffisante. En effet, si un attaquant a exploité la
vulnérabilité avant leur application, il a pu déposer une porte dérobée qui lui permettra de se
connecter ultérieurement au système. A titre d'exemple, les codes d’exploitation observés
jusqu'ici déposent une clé publique SSH.
D'autres méthodes d'attaques, permettant, entre autres, des fuites de données ou une exécution
de code arbitraire, ne sont pas à exclure.
Les tentatives d'exploitation liées à ces codes publics peuvent être détectées en vérifiant, dans
les journaux de l'équipement, la présence d'un "User-Agent" égal à "Report Runner" ou
"Node.js", ainsi que la présence du motif "127.0.0.1" dans le champ "Forwarded".
Ces marqueurs préliminaires sont fournis à titre indicatif et ne sont pas exhaustifs.
Documentation
Page 2 / 3
Bulletin d'actualité CERT-FR CERTFR-2022-ACT-044 du 11 octobre 2022
https://www.cert.ssi.gouv.fr/actualite/CERTFR-2022-ACT-044/
Bulletin de sécurité Fortinet FG-IR-22-377 du 10 octobre 2022
https://www.fortiguard.com/psirt/FG-IR-22-377
Référence CVE CVE-2022-40684
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-40684
Le guide d'hygiène informatique
https://www.ssi.gouv.fr/data/arpa/wordpress/uploads/2017/01/guide_hygiene_informatique_anssi.pdf
[1] Recommandations relatives à l’administration sécurisée des systèmes d’information
https://www.ssi.gouv.fr/administration/guide/securiser-ladministration-des-systemes-dinformation/
Les bons réflexes en cas d’intrusion sur un système d’information
https://www.cert.ssi.gouv.fr/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/
Page 3 / 3