Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

  • FortiOS 6.0 toutes versions
  • FortiOS versions 6.2.x antérieures à 6.2.16
  • FortiOS versions 6.4.x antérieures à 6.4.15
  • FortiOS versions 7.0.x antérieures à 7.0.14
  • FortiOS versions 7.2.x antérieures à 7.2.7
  • FortiOS versions 7.4.x antérieures à 7.4.3
  • FortiProxy 1.0 toutes versions
  • FortiProxy 1.1 toutes versions
  • FortiProxy 1.2 toutes versions
  • FortiProxy versions 2.0.x antérieures à 2.0.14
  • FortiProxy versions 7.0.x antérieures à 7.0.15
  • FortiProxy versions 7.2.x antérieures à 7.2.9
  • FortiProxy versions 7.4.x antérieures à 7.4.3

[Mise à jour du 15 février 2024] Ajout de FortiProxy et de nouvelles versions dans les systèmes affectés suite à la mise à jour du bulletin éditeur du 8 février 2024.

Résumé

[Mise à jour du 19 mars 2024] Le CERT-FR a connaissance de codes d'exploitation publics et de nouvelles tentatives d'exploitation.

Le 8 février 2024, Fortinet a publié l'avis de sécurité concernant la vulnérabilité critique CVE-2024-21762 affectant le VPN SSL de FortiOS. Cette vulnérabilité permet à un attaquant non authentifié de provoquer une exécution de code arbitraire à distance.

[Mise à jour du 15 février 2024] Une mise à jour du bulletin éditeur du 8 février indique que FortiProxy est aussi affecté par cette vulnérabilité.

La CISA a connaissance d’exploitation de cette vulnérabilité par des attaquants [1]. Le CERT-FR recommande donc fortement d'appliquer le correctif dans les plus brefs délais.

Contournement provisoire

L'éditeur recommande de désactiver le VPN SSL si l'application du correctif n'est pas possible. Fortinet indique en effet que la désactivation de l'interface web n'est pas suffisante.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation