{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"FortiProxy versions 7.2.x ant\u00e9rieures \u00e0 7.2.1","product":{"name":"FortiProxy","vendor":{"name":"Fortinet","scada":false}}},{"description":"FortiProxy versions 7.0.x ant\u00e9rieures \u00e0 7.0.7","product":{"name":"FortiProxy","vendor":{"name":"Fortinet","scada":false}}},{"description":"FortiSwitchManager versions 7.x ant\u00e9rieures \u00e0 7.2.1","product":{"name":"FortiSwitchManager","vendor":{"name":"Fortinet","scada":false}}},{"description":"FortiOS versions 7.2.x ant\u00e9rieures \u00e0 7.2.2","product":{"name":"FortiOS","vendor":{"name":"Fortinet","scada":false}}},{"description":"FortiOS versions 7.0.x ant\u00e9rieures \u00e0 7.0.7","product":{"name":"FortiOS","vendor":{"name":"Fortinet","scada":false}}}],"affected_systems_content":null,"closed_at":"2023-07-26","content":"## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des\ncorrectifs (cf. section Documentation).\n\nL'application seule des correctifs n'est pas suffisante. En effet, si un\nattaquant a exploit\u00e9 la vuln\u00e9rabilit\u00e9 avant leur application, il a pu\nd\u00e9poser une porte d\u00e9rob\u00e9e qui lui permettra de se connecter\nult\u00e9rieurement au syst\u00e8me. A titre d'exemple, les codes d\u2019exploitation\nobserv\u00e9s jusqu'ici d\u00e9posent une cl\u00e9 publique SSH.\n\nD'autres m\u00e9thodes d'attaques, permettant, entre autres, des fuites de\ndonn\u00e9es ou une ex\u00e9cution de code arbitraire, ne sont pas \u00e0 exclure.\n\nLes tentatives d'exploitation li\u00e9es \u00e0 ces codes publics peuvent \u00eatre\nd\u00e9tect\u00e9es en v\u00e9rifiant, dans les journaux de l'\u00e9quipement, la pr\u00e9sence\nd'un\u00a0*\"User-Agent\"* \u00e9gal \u00e0 *\"<span class=\"pl-s\">Report Runner</span>\"*\nou *\"Node.js\"*, ainsi que la pr\u00e9sence du motif *\"127.0.0.1\"* dans le\nchamp *\"Forwarded\"*.\n\nCes marqueurs pr\u00e9liminaires sont fournis \u00e0 titre indicatif et ne sont\npas exhaustifs.\n\n## Contournement provisoire\n\nDans son avis de s\u00e9curit\u00e9 (cf. section Documentation), Fortinet d\u00e9taille\nla proc\u00e9dure pour d\u00e9sactiver l'interface d\u2019administration ou restreindre\nson acc\u00e8s \u00e0 des adresses ip de confiance.\n","cves":[{"name":"CVE-2022-40684","url":"https://www.cve.org/CVERecord?id=CVE-2022-40684"}],"links":[{"title":"Bulletin d'actualit\u00e9 CERT-FR\u00a0CERTFR-2022-ACT-044\u00a0du 11 octobre 2022","url":"https://www.cert.ssi.gouv.fr/actualite/CERTFR-2022-ACT-044/"},{"title":"[1] Recommandations relatives \u00e0 l\u2019administration s\u00e9curis\u00e9e des syst\u00e8mes d\u2019information","url":"https://www.ssi.gouv.fr/administration/guide/securiser-ladministration-des-systemes-dinformation/"},{"title":"Le guide d'hygi\u00e8ne informatique","url":"https://www.ssi.gouv.fr/uploads/2017/01/guide_hygiene_informatique_anssi.pdf"},{"title":"Avis CERT-FR\u00a0CERTFR-2022-AVI-894 du 11 octobre 2022","url":"https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-894/"},{"title":"Les bons r\u00e9flexes en cas d\u2019intrusion sur un syst\u00e8me d\u2019information","url":"https://www.cert.ssi.gouv.fr/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/"}],"reference":"CERTFR-2022-ALE-011","revisions":[{"description":"Version initiale","revision_date":"2022-10-14T00:00:00.000000"}],"risks":[{"description":"Contournement de la politique de s\u00e9curit\u00e9"},{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"}],"summary":"Le 07 octobre 2022, des informations ont circul\u00e9 concernant l\u2019existence\nd\u2019une vuln\u00e9rabilit\u00e9 critique dans les produits Fortinet. Le 11 octobre\n2022, l\u2019\u00e9diteur a publi\u00e9 un avis de s\u00e9curit\u00e9 d\u00e9taillant l\u2019existence\nd\u2019une vuln\u00e9rabilit\u00e9 permettant \u00e0 un attaquant non authentifi\u00e9 de pouvoir\nr\u00e9aliser des actions au travers de l\u2019interface d\u2019administration.\n\nL\u2019\u00e9diteur indique que cette vuln\u00e9rabilit\u00e9 a fait l\u2019objet d\u2019une attaque\ncibl\u00e9e.\n\nLe 13 octobre 2022, des chercheurs ont publi\u00e9 un rapport d\u00e9taill\u00e9 ainsi\nqu'une preuve de concept. Depuis cette publication, le CERT-FR constate\nque des variations de ce code d'exploitation sont publiquement\ndisponibles.\n\nLe CERT-FR anticipe des exploitations en masse de la\nvuln\u00e9rabilit\u00e9\u00a0CVE-2022-40684, d'autant plus que de nombreuses interfaces\nd\u2019administration de produits Fortinet sont expos\u00e9es sur Internet.\n\nL'exposition d'une interface de gestion sur Internet est contraire aux\nbonnes pratiques. Dans le cas o\u00f9 l\u2019administration \u00e0 distance est\nimp\u00e9ratif, une premi\u00e8re mesure temporaire peut consister \u00e0 restreindre\nl'acc\u00e8s \u00e0 des adresses ip de confiance. Il cependant conseill\u00e9 de suivre\nles recommandations du guide publi\u00e9 par l'ANSSI pour la s\u00e9curisation de\nl'administration du SI \\[1\\].\n","title":"Vuln\u00e9rabilit\u00e9 dans les produits Fortinet","vendor_advisories":[{"published_at":null,"title":"Bulletin de s\u00e9curit\u00e9 Fortinet FG-IR-22-377 du 10 octobre 2022","url":"https://www.fortiguard.com/psirt/FG-IR-22-377"}]}