{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"FortiOS versions 6.x ant\u00e9rieures \u00e0 6.4.12","product":{"name":"FortiOS","vendor":{"name":"Fortinet","scada":false}}},{"description":"FortiOS versions 7.2.x ant\u00e9rieures \u00e0 7.2.4","product":{"name":"FortiOS","vendor":{"name":"Fortinet","scada":false}}},{"description":"FortiOS versions 7.0.x ant\u00e9rieures \u00e0 7.0.10","product":{"name":"FortiOS","vendor":{"name":"Fortinet","scada":false}}}],"affected_systems_content":null,"closed_at":"2023-07-26","content":"## Solution\n\nLe CERT-FR recommande fortement d\u2019appliquer les correctifs fournis par\nl\u2019\u00e9diteur, se r\u00e9f\u00e9rer \u00e0 l\u2019avis \u00e9mis par le CERT-FR \\[2\\] pour plus\nd\u2019informations.\n\nL'application seule des correctifs n'est pas suffisante puisque les\nattaquants disposent de moyens de persistance leur permettant de se\nconnecter ult\u00e9rieurement au syst\u00e8me.\n\nIl est recommand\u00e9 d'effectuer une analyse des syst\u00e8mes FortiGate et\nFortiManager, notamment \u00e0 l'aide des indicateurs de compromission\nfournis par l'\u00e9diteur dans son billet de blog et dans les pr\u00e9c\u00e9dents\navis de s\u00e9curit\u00e9 \u00e9mis. Ces marqueurs sont donn\u00e9s \u00e0 titre indicatif et\nn'ont pas \u00e9t\u00e9 v\u00e9rifi\u00e9s par le CERT-FR.\n","cves":[{"name":"CVE-2022-41328","url":"https://www.cve.org/CVERecord?id=CVE-2022-41328"}],"links":[{"title":"[2] Avis CERT-FR\u00a0CERTFR-2023-AVI-0199 du 08 mars 2023","url":"https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0199/"},{"title":"[1] Recommandations relatives \u00e0 l\u2019administration s\u00e9curis\u00e9e des syst\u00e8mes d\u2019information","url":"https://www.ssi.gouv.fr/administration/guide/securiser-ladministration-des-systemes-dinformation/"},{"title":"Le guide d'hygi\u00e8ne informatique","url":"https://www.ssi.gouv.fr/uploads/2017/01/guide_hygiene_informatique_anssi.pdf"},{"title":"Billet de blog Fortinet portant sur l'analyse de la vuln\u00e9rabilit\u00e9 de l'avis FG-IR-22-369 du 09 mars 2023","url":"https://www.fortinet.com/blog/psirt-blogs/fg-ir-22-369-psirt-analysis"},{"title":"Les bons r\u00e9flexes en cas d\u2019intrusion sur un syst\u00e8me d\u2019information","url":"https://www.cert.ssi.gouv.fr/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/"}],"reference":"CERTFR-2023-ALE-001","revisions":[{"description":"Version initiale","revision_date":"2023-03-14T00:00:00.000000"}],"risks":[{"description":"Contournement de la politique de s\u00e9curit\u00e9"},{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"}],"summary":"Le 07 mars 2023, Fortinet a publi\u00e9 un avis de s\u00e9curit\u00e9 d\u00e9taillant\nl\u2019existence d\u2019une vuln\u00e9rabilit\u00e9\u00a0de type travers\u00e9e de chemin (*path\ntraversal*) permettant \u00e0 un attaquant authentifi\u00e9 avec un compte \u00e0\nprivil\u00e8ges de lire et d'\u00e9crire des fichiers arbitrairement au travers de\nl'interface en ligne de commande.\n\nLe 09 mars 2023, Fortinet a publi\u00e9 un billet sur son blog d\u00e9taillant\nl'analyse de la compromission de plateformes de pare-feux FortiGate avec\nle syst\u00e8me FortiOS par l'exploitation de la vuln\u00e9rabilit\u00e9 CVE-2022-41328\nd\u00e9taill\u00e9 dans l'avis FG-IR-22-369.\n\nFortinet indique que cette vuln\u00e9rabilit\u00e9 est activement exploit\u00e9e dans\nle cadre d'attaques cibl\u00e9es. C'est lors d'une r\u00e9ponse \u00e0 incident\nimpliquant des pare-feux FortiGate g\u00e9r\u00e9s par une console FortiManager\nque les \u00e9quipes de Fortinet ont pu identifier les informations\nci-dessous :\n\n-   Le vecteur de compromission initial semble provenir de la console\n    FortiManager, ceci est d\u00e9duit par la temporalit\u00e9 et la ressemblance\n    des attaques simultan\u00e9es sur diff\u00e9rents pare-feux g\u00e9r\u00e9s par la m\u00eame\n    console ;\n-   Le fichier\u00a0*/sbin/init* est modifi\u00e9 et le fichier */bin/fgfm* est\n    cr\u00e9\u00e9, notamment pour assurer la persistance et ajouter des\n    fonctionnalit\u00e9s de contr\u00f4le ;\n-   Dans les cas connus de l'\u00e9diteur, les pare-feux impact\u00e9s ont \u00e9t\u00e9\n    brutalement arr\u00eat\u00e9s et leur red\u00e9marrage a \u00e9t\u00e9 emp\u00each\u00e9 par une\n    protection du syst\u00e8me contre la modification du microgiciel (option\n    FIPS).\n\nRemarque : les moyens ayant permis la prise de contr\u00f4le de la console\nFortiManager ne sont pas pr\u00e9cis\u00e9s par l'\u00e9diteur\u00a0 (vols d'identifiants,\nexploitation d'une vuln\u00e9rabilit\u00e9 pr\u00e9c\u00e9dente, ...).\n\n<span class=\"mx_EventTile_body\" dir=\"auto\">Pour rappel</span>, le\nCERT-FR recommande de mettre en place une infrastructure s\u00e9curis\u00e9e pour\nl'administration des \u00e9quipements et des services \\[1\\].\n","title":"Vuln\u00e9rabilit\u00e9 dans Fortinet FortiOS","vendor_advisories":[{"published_at":null,"title":"Bulletin de s\u00e9curit\u00e9 Fortinet FG-IR-22-369 du 07 mars 2023","url":"https://www.fortiguard.com/psirt/FG-IR-22-369"}]}