Objet: [MàJ] Multiples vulnérabilités dans Fortinet FortiManager

Résumé

[Mise à jour du 15 novembre 2024] Le CERT-FR a connaissance d'une vulnérabilité de type jour-zéro non couverte par le correctif FG-IR-24-423.

En l'absence de correctif, la seule mesure de contournement connue à ce jour est de déconnecter ou d'éteindre les équipements FortiManager.

[Publication initiale]

Une vulnérabilité a été découverte dans Fortinet FortiManager. Elle permet à un attaquant non authentifié de provoquer une exécution de code arbitraire à distance.

Fortinet indique que la vulnérabilité CVE-2024-47575 est activement exploitée. L'éditeur précise qu'en exploitant cette vulnérabilité, un attaquant est en mesure d'exfiltrer des données contenant des adresses IP, des secrets et des configurations des équipements gérés par le FortiManager.

Mesures de contournement

L'éditeur propose plusieurs mesures de contournement si la mise à jour est impossible dans l'immédiat. Celles-ci varient en fonction de la version de l'équipement et peuvent entraîner des effets de bord voire être contournées dans certaines situations.

Solutions

[Mise à jour du 24 octobre 2024]Précisions relatives aux recommandations du CERT-FR.

Le CERT-FR n'exclut pas la possibilité d'exploitations réalisées dans les mois précédant la publication de l'avis de l'éditeur. Il est donc nécessaire de chercher les indicateurs de compromissions mis à disposition par l'éditeur sur une période de temps correspondante. Le CERT-FR recommande également de faire une recherche en utilisant les indicateurs détaillés dans le billet de blogue de Mandiant [4]. Note : Ces indicateurs n'ont pas été qualifiés par le CERT-FR.

Des risques d'exploitation depuis l'intérieur du système d'information via un équipement préalablement compromis, ou un relais applicatif, sont possibles. Le CERT-FR recommande donc d'effectuer une recherche de compromission sur les équipements non-exposés sur Internet.

En cas de compromission ou de suspicion de compromission:

• signaler l’événement auprès du CERT-FR en mettant en copie vos éventuels CSIRTs métier ;
• rechercher toutes traces de latéralisation sur le reste du système d’information, notamment :
  • en cherchant les connexions ou tentatives de connexion vers Internet depuis l'équipement compromis ;
  • puis en cherchant ces adresses IP de destination pour vérifier si d’autres machines ont tenté une connexion ;
  • en identifiant l'ensemble des équipement Fortinet gérés par le FortiManager puis en examinant leurs journaux.

[Publication initiale] Des versions correctives sont disponibles pour la majorité des versions impactées. Le CERT-FR recommande l'application des mises à jour de sécurité dans les plus brefs délais. Pour les versions 6.4.x, 7.0 et 7.2 de FortiManager Cloud, l'éditeur indique de mettre à jour vers la version 7.4.5 ou ultérieure.

Fortinet met à disposition différents indicateurs de compromission dans son avis de sécurité.

En cas de suspicion de compromission, il est recommandé de consulter les bons réflexes en cas d'intrusion sur votre système d'information [1], ainsi que les fiches réflexe sur la compromission système [2] [3].

L'éditeur propose, dans son bulletin, des méthodes de remédiation. Néanmoins, le CERT-FR recommande tout d'abord d'isoler les équipements compromis du réseau et de réaliser un gel de données (instantané pour les machines virtuelles, isolement de l’équipement s’il s’agit d’une machine physique) à des fins d’investigations approfondies.