S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 13 décembre 2022
N° CERTFR-2022-ALE-012
Affaire suivie par: CERT-FR

Bulletin d'alerte du CERT-FR

Objet: [MàJ] Vulnérabilité dans FortiOS SSL-VPN

Gestion du document

Référence CERTFR-2022-ALE-012
Titre [MàJ] Vulnérabilité dans FortiOS SSL-VPN
Date de la première version13 décembre 2022
Date de la dernière version20 décembre 2022
Source(s) Bulletin de sécurité Fortinet FG-IR-22-398 du 12 décembre 2022
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

  • FortiOS versions 6.4.x antérieures à 6.4.11
  • FortiOS versions 7.0.x antérieures à 7.0.9
  • FortiOS versions 7.2.x antérieures à 7.2.3
  • FortiOS versions antérieures à 6.2.12
  • FortiOS-6K7K versions 6.0.x antérieures à 6.0.15
  • FortiOS-6K7K versions 6.2.x antérieures à 6.2.12
  • FortiOS-6K7K versions 6.4.x antérieures à 6.4.10
  • FortiOS-6K7K versions 7.0.x antérieures à 7.0.8

Résumé

Le 12 décembre 2022, l'éditeur Fortinet a publié un avis de sécurité mentionnant une vulnérabilité critique dans son produit FortiOS SSL-VPN. Cette vulnérabilité de débordement de tas (heap overflow) permet à un attaquant distant non authentifié d'exécuter du code ou des commandes arbitraires via des requêtes spécifiquement conçues.

Fortinet a connaissance d'un cas où cette vulnérabilité a été exploitée. Le CERT-FR anticipe des exploitations en masse de la vulnérabilité CVE-2022-42475, d'autant plus que de nombreuses interfaces d’administration de produits Fortinet sont exposées sur Internet.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

DÉTECTION

L'application seule des correctifs n'est pas suffisante. En effet, si un attaquant a exploité la vulnérabilité avant leur application, il a pu déposer une porte dérobée qui lui permettra de se connecter ultérieurement au système.

Il est recommandé d'effectuer une analyse des systèmes notamment à l'aide des indicateurs de compromission fournis par l'éditeur : https://www.fortiguard.com/psirt/FG-IR-22-398. Ces marqueurs préliminaires sont fournis à titre indicatif et ne sont pas exhaustifs.

Contournement provisoire

Il est recommandé de désactiver le service VPN.

Documentation

Gestion détaillée du document

    le 13 décembre 2022
    Modification des versions affectées par la vulnérabilité CVE-2022-42475
    le 13 décembre 2022
    Version initiale
    le 20 décembre 2022
    ajout du terme anglais pour "dépassement de tas"