Scribd Logo
Upload

Welcome to Scribd!

  • Certfr 2022 Ale 011

    Uploaded by

    ttt
    13 views3 pages

    Original Title

    CERTFR-2022-ALE-011

    Copyright

    © © All Rights Reserved

    Available Formats

    PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document

    Copyright:

    © All Rights Reserved
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    13 views3 pages

    Certfr 2022 Ale 011

    Uploaded by

    ttt

    Copyright:

    © All Rights Reserved
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 3

    PREMIER MINISTRE

    S.G.D.S.N Paris, le 14 octobre 2022


    Agence nationale N° CERTFR-2022-ALE-011
    de la sécurité des
    systèmes d'information

    Affaire suivie par: CERT-FR

    BULLETIN D'ALERTE DU CERT-FR

    Objet: Vulnérabilité dans les produits Fortinet

    Gestion du document

    Référence CERTFR-2022-ALE-011
    Titre Vulnérabilité dans les produits Fortinet
    Date de la première version 14 octobre 2022
    Date de la dernière version 14 octobre 2022
    Bulletin de sécurité Fortinet FG-IR-22-377 du 10
    Source(s)
    octobre 2022
    Pièce(s) jointe(s) Aucune(s)
    Tableau 1: Gestion du document

    Une gestion de version détaillée se trouve à la fin de ce document.

    Risque(s)
    Exécution de code arbitraire à distance
    Contournement de la politique de sécurité

    Systèmes affectés
    FortiOS versions 7.2.x antérieures à 7.2.2
    FortiOS versions 7.0.x antérieures à 7.0.7
    FortiProxy versions 7.2.x antérieures à 7.2.1
    FortiProxy versions 7.0.x antérieures à 7.0.7

    Secrétariat général de la défense et de la sécurité nationale – ANSSI – CERT-FR


    51, bd de La Tour-Maubourg Tél.: +33 1 71 75 84 68 Web: https://www.cert.ssi.gouv.fr
    75700 Paris 07 SP Fax: +33 1 84 82 40 70 Mél: cert-fr.cossi@ssi.gouv.fr
    FortiSwitchManager versions 7.x antérieures à 7.2.1

    Résumé
    Le 07 octobre 2022, des informations ont circulé concernant l’existence d’une vulnérabilité
    critique dans les produits Fortinet. Le 11 octobre 2022, l’éditeur a publié un avis de sécurité
    détaillant l’existence d’une vulnérabilité permettant à un attaquant non authentifié de pouvoir
    réaliser des actions au travers de l’interface d’administration.

    L’éditeur indique que cette vulnérabilité a fait l’objet d’une attaque ciblée.

    Le 13 octobre 2022, des chercheurs ont publié un rapport détaillé ainsi qu'une preuve de
    concept. Depuis cette publication, le CERT-FR constate que des variations de ce code
    d'exploitation sont publiquement disponibles.

    Le CERT-FR anticipe des exploitations en masse de la vulnérabilité CVE-2022-40684, d'autant


    plus que de nombreuses interfaces d’administration de produits Fortinet sont exposées sur
    Internet.

    L'exposition d'une interface de gestion sur Internet est contraire aux bonnes pratiques. Dans le
    cas où l’administration à distance est impératif, une première mesure temporaire peut consister à
    restreindre l'accès à des adresses ip de confiance. Il cependant conseillé de suivre les
    recommandations du guide publié par l'ANSSI pour la sécurisation de l'administration du SI [1].

    Contournement provisoire
    Dans son avis de sécurité (cf. section Documentation), Fortinet détaille la procédure pour
    désactiver l'interface d’administration ou restreindre son accès à des adresses ip de confiance.

    Solution
    Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section
    Documentation).

    L'application seule des correctifs n'est pas suffisante. En effet, si un attaquant a exploité la
    vulnérabilité avant leur application, il a pu déposer une porte dérobée qui lui permettra de se
    connecter ultérieurement au système. A titre d'exemple, les codes d’exploitation observés
    jusqu'ici déposent une clé publique SSH.

    D'autres méthodes d'attaques, permettant, entre autres, des fuites de données ou une exécution
    de code arbitraire, ne sont pas à exclure.

    Les tentatives d'exploitation liées à ces codes publics peuvent être détectées en vérifiant, dans
    les journaux de l'équipement, la présence d'un "User-Agent" égal à "Report Runner" ou
    "Node.js", ainsi que la présence du motif "127.0.0.1" dans le champ "Forwarded".

    Ces marqueurs préliminaires sont fournis à titre indicatif et ne sont pas exhaustifs.

    Documentation

    Avis CERT-FR CERTFR-2022-AVI-894 du 11 octobre 2022


    https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-894/

    Page 2 / 3
    Bulletin d'actualité CERT-FR CERTFR-2022-ACT-044 du 11 octobre 2022
    https://www.cert.ssi.gouv.fr/actualite/CERTFR-2022-ACT-044/
    Bulletin de sécurité Fortinet FG-IR-22-377 du 10 octobre 2022
    https://www.fortiguard.com/psirt/FG-IR-22-377
    Référence CVE CVE-2022-40684
    https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-40684
    Le guide d'hygiène informatique
    https://www.ssi.gouv.fr/data/arpa/wordpress/uploads/2017/01/guide_hygiene_informatique_anssi.pdf
    [1] Recommandations relatives à l’administration sécurisée des systèmes d’information
    https://www.ssi.gouv.fr/administration/guide/securiser-ladministration-des-systemes-dinformation/
    Les bons réflexes en cas d’intrusion sur un système d’information
    https://www.cert.ssi.gouv.fr/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/

    Gestion détaillée du document


    le 14 octobre 2022
    Version initiale

    Conditions d’utilisation de ce document : https://www.cert.ssi.gouv.fr


    Dernière version de ce document : https://www.cert.ssi.gouv.fr/alerte/CERTFR-2022-ALE-011/

    Page 3 / 3

    You might also like