{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"FortiManager versions 7.6.x ant\u00e9rieures \u00e0 7.6.2","product":{"name":"FortiManager","vendor":{"name":"Fortinet","scada":false}}},{"description":"FortiManager versions 7.2.x ant\u00e9rieures \u00e0 7.2.9","product":{"name":"FortiManager","vendor":{"name":"Fortinet","scada":false}}},{"description":"FortiAnalyzer mod\u00e8les 1000E, 1000F, 2000E, 3000E, 3000F, 3000G, 3500E, 3500F, 3500G, 3700F, 3700G, 3900E avec la fonctionnalit\u00e9 FortiManager","product":{"name":"FortiAnalyzer","vendor":{"name":"Fortinet","scada":false}}},{"description":"FortiManager versions 6.4.x ant\u00e9rieures \u00e0 6.4.15","product":{"name":"FortiManager","vendor":{"name":"Fortinet","scada":false}}},{"description":"FortiManager versions 7.0.x ant\u00e9rieures \u00e0 7.0.13","product":{"name":"FortiManager","vendor":{"name":"Fortinet","scada":false}}},{"description":"FortiManager Cloud versions 7.4.x ant\u00e9rieures \u00e0 7.4.5","product":{"name":"FortiManager","vendor":{"name":"Fortinet","scada":false}}},{"description":"FortiManager versions 6.2.x ant\u00e9rieures \u00e0 6.2.13","product":{"name":"FortiManager","vendor":{"name":"Fortinet","scada":false}}},{"description":"FortiManager Cloud versions 7.2.x ant\u00e9rieures \u00e0 7.2.8","product":{"name":"FortiManager","vendor":{"name":"Fortinet","scada":false}}},{"description":"FortiManager versions 7.4.x ant\u00e9rieures \u00e0 7.4.6","product":{"name":"FortiManager","vendor":{"name":"Fortinet","scada":false}}},{"description":"FortiManager Cloud versions 6.4.x \u00e0 7.0.x ant\u00e9rieures \u00e0 7.0.13","product":{"name":"FortiManager","vendor":{"name":"Fortinet","scada":false}}}],"affected_systems_content":"**<span class=\"important-content\">[Mise \u00e0 jour du 14 janvier 2025]</span>** <span class=\"important-content\">**Publication des correctifs**</span>\n\nL'\u00e9diteur a publi\u00e9 des correctifs pour la vuln\u00e9rabilit\u00e9 de type jour-z\u00e9ro d\u00e9sormais identifi\u00e9e en tant que CVE-2024-50566. La liste des syst\u00e8mes affect\u00e9s a \u00e9t\u00e9 mise \u00e0 jour.\n\n**[Mise \u00e0 jour du 15 novembre 2024]** Le CERT-FR a connaissance d'une vuln\u00e9rabilit\u00e9 de type jour-z\u00e9ro\n\nLe CERT-FR a connaissance d'une vuln\u00e9rabilit\u00e9 de type jour-z\u00e9ro affectant l'ensemble des \u00e9quipements FortiManager et FortiAnalyzer avec la fonctionnalit\u00e9 FortiManager.\n\n**[Mise \u00e0 jour du 24 octobre 2024]Mise \u00e0 jour des syst\u00e8mes affect\u00e9s**\n\nL'\u00e9diteur a indiqu\u00e9 avoir publi\u00e9 de nouvelles versions correctives pour FortiManager Cloud. Fortinet pr\u00e9cise que certains \u00e9quipements FortiAnalyser sont \u00e9galement affect\u00e9s. L'identification de ces \u00e9quipements est pr\u00e9cis\u00e9e dans le bulletin \u00e9diteur. ","closed_at":"2025-03-31","content":"##\u00a0Mesures de contournement\n\nL'\u00e9diteur propose plusieurs mesures de contournement si la mise \u00e0 jour est impossible dans l'imm\u00e9diat. Celles-ci varient en fonction de la version de l'\u00e9quipement et peuvent entra\u00eener des effets de bord voire \u00eatre contourn\u00e9es dans certaines situations.\n\n## Solutions\n\n**<span class=\"important-content\">[Mise \u00e0 jour du 14 janvier 2025]</span>** <span class=\"important-content\">**Publication des correctifs**</span>\n\nLe 14 janvier 2025, Fortinet a publi\u00e9 un avis de s\u00e9curit\u00e9 relatif \u00e0 la vuln\u00e9rabilit\u00e9 CVE-2024-50566. Les mises \u00e0 jour de s\u00e9curit\u00e9 sont disponibles et doivent \u00eatre appliqu\u00e9es. Veuillez-vous r\u00e9f\u00e9rer \u00e0 l'avis \u00e9diteur (FG-IR-24-463) pour la liste des versions correctives.\n\n**[Mise \u00e0 jour du 24 octobre 2024] Pr\u00e9cisions relatives aux recommandations du CERT-FR.**\n\nLe CERT-FR n'exclut pas la possibilit\u00e9 d'exploitations r\u00e9alis\u00e9es dans les mois pr\u00e9c\u00e9dant la publication de l'avis de l'\u00e9diteur. Il est donc n\u00e9cessaire de chercher les indicateurs de compromissions mis \u00e0 disposition par l'\u00e9diteur sur une p\u00e9riode de temps correspondante. Le CERT-FR recommande \u00e9galement de faire une recherche en utilisant les indicateurs d\u00e9taill\u00e9s dans le billet de blogue de Mandiant [4]. *Note : Ces indicateurs n'ont pas \u00e9t\u00e9 qualifi\u00e9s par le CERT-FR.*\n\nDes risques d'exploitation depuis l'int\u00e9rieur du syst\u00e8me d'information via un \u00e9quipement pr\u00e9alablement compromis, ou un relais applicatif, sont possibles. Le CERT-FR recommande donc d'effectuer une recherche de compromission sur les \u00e9quipements non-expos\u00e9s sur Internet.\n\n\nEn cas de compromission ou de suspicion de compromission: \n* signaler l\u2019\u00e9v\u00e9nement aupr\u00e8s du CERT-FR en mettant en copie vos \u00e9ventuels CSIRTs m\u00e9tier ;\n* rechercher toutes traces de lat\u00e9ralisation sur le reste du syst\u00e8me d\u2019information, notamment :\n    * en cherchant les connexions ou tentatives de connexion vers Internet depuis l'\u00e9quipement compromis ;\n    * puis en cherchant ces adresses IP de destination pour v\u00e9rifier si d\u2019autres machines ont tent\u00e9 une connexion ; \n    * en identifiant l'ensemble des \u00e9quipement Fortinet g\u00e9r\u00e9s par le FortiManager puis en examinant leurs journaux.\n\n**[Publication initiale]**\nDes versions correctives sont disponibles pour la majorit\u00e9 des versions impact\u00e9es. Le CERT-FR recommande l'application des mises \u00e0 jour de s\u00e9curit\u00e9 dans les plus brefs d\u00e9lais.\nPour les versions 6.4.x, 7.0 et 7.2 de FortiManager Cloud, l'\u00e9diteur indique de mettre \u00e0 jour vers la version 7.4.5 ou ult\u00e9rieure. \n\nFortinet met \u00e0 disposition diff\u00e9rents indicateurs de compromission dans son avis de s\u00e9curit\u00e9.\n\nEn cas de suspicion de compromission, il est recommand\u00e9 de consulter les [bons r\u00e9flexes en cas d'intrusion sur votre syst\u00e8me d'information](https://www.cert.ssi.gouv.fr/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/) [1], ainsi que les fiches r\u00e9flexe sur la compromission syst\u00e8me [2] [3].\n\nL'\u00e9diteur propose, dans son bulletin, des m\u00e9thodes de rem\u00e9diation. N\u00e9anmoins, le CERT-FR recommande tout d'abord d'isoler les \u00e9quipements compromis du r\u00e9seau et de r\u00e9aliser un gel de donn\u00e9es (instantan\u00e9 pour les machines virtuelles, isolement de l\u2019\u00e9quipement s\u2019il s\u2019agit d\u2019une machine physique) \u00e0 des fins d\u2019investigations approfondies. ","cves":[{"name":"CVE-2024-47575","url":"https://www.cve.org/CVERecord?id=CVE-2024-47575"},{"name":"CVE-2024-50566","url":"https://www.cve.org/CVERecord?id=CVE-2024-50566"}],"links":[{"title":"Avis CERTFR-2025-AVI-0030 du 14 janvier 2025","url":"https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0030/"},{"title":"[4] Billet de blogue de Mandiant du 24 octobre 2024","url":"https://cloud.google.com/blog/topics/threat-intelligence/fortimanager-zero-day-exploitation-cve-2024-47575?hl=en"},{"title":"[3] Fiche r\u00e9flexe Compromission syst\u00e8me - Endiguement","url":"https://www.cert.ssi.gouv.fr/fiche/CERTFR-2024-RFX-006/"},{"title":"[1] Les bons r\u00e9flexes en cas d\u2019intrusion sur un syst\u00e8me d\u2019information","url":"https://www.cert.ssi.gouv.fr/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/"},{"title":"[2]\u00a0Fiche r\u00e9flexe Compromission syst\u00e8me - Qualification","url":"https://www.cert.ssi.gouv.fr/fiche/CERTFR-2024-RFX-005/"},{"title":"Avis CERTFR-2024-AVI-0917 du 23 octobre 2024","url":"https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0917"}],"reference":"CERTFR-2024-ALE-014","revisions":[{"description":"Version initiale","revision_date":"2024-10-23T00:00:00.000000"},{"description":"Mise \u00e0 jour des syst\u00e8mes affect\u00e9s et des recommandations du CERT-FR","revision_date":"2024-10-24T00:00:00.000000"},{"description":"Mise \u00e0 jour concernant la disponibilit\u00e9 de correctifs","revision_date":"2024-10-30T00:00:00.000000"},{"description":"Le CERT-FR a connaissance d'une vuln\u00e9rabilit\u00e9 de type jour-z\u00e9ro permettant de contourner partiellement le correctif FG-IR-24-423.","revision_date":"2024-11-15T00:00:00.000000"},{"description":"Reformulation","revision_date":"2024-11-21T00:00:00.000000"},{"description":"Publication des correctifs de s\u00e9curit\u00e9 pour la vuln\u00e9rabilit\u00e9 CVE-2024-50566","revision_date":"2025-01-14T00:00:00.000000"},{"description":"    Cl\u00f4ture de l'alerte. Cela ne signifie pas la fin d'une menace. Seule l'application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l'exploitation de la vuln\u00e9rabilit\u00e9 correspondante.","revision_date":"2025-03-31T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"}],"summary":"**<span class=\"important-content\">[Mise \u00e0 jour du 14 janvier 2025]</span>** <span class=\"important-content\">**Publication des correctifs**</span>\n\nLe 14 janvier 2025, Fortinet a publi\u00e9 un avis de s\u00e9curit\u00e9 relatif \u00e0 la vuln\u00e9rabilit\u00e9 CVE-2024-50566 qui correspond \u00e0 la vuln\u00e9rabilit\u00e9 de type jour-z\u00e9ro pour laquelle une preuve de concept a \u00e9t\u00e9 publi\u00e9e en novembre 2024. Des correctifs de s\u00e9curit\u00e9 sont d\u00e9sormais disponibles et doivent \u00eatre appliqu\u00e9s.\n\n**[Mise \u00e0 jour du 15 novembre 2024]** Le CERT-FR a connaissance d'une vuln\u00e9rabilit\u00e9 de type jour-z\u00e9ro non couverte par le correctif FG-IR-24-423.\n\nLe 14 novembre 2024, le CERT-FR a pris connaissance d'une preuve de concept publique permettant l'exploitation d'une vuln\u00e9rabilit\u00e9 de type jour-z\u00e9ro affectant l'ensemble des \u00e9quipements FortiManager et FortiAnalyzer avec la fonctionnalit\u00e9 FortiManager.\n</span>\n</br></br>\nCette vuln\u00e9rabilit\u00e9 permet \u00e0 un attaquant contr\u00f4lant un \u00e9quipement FortiGate enregistr\u00e9 de prendre le contr\u00f4le de l'\u00e9quipement FortiManager associ\u00e9, m\u00eame sur les versions les plus \u00e0 jour. Un attaquant peut donc, depuis un \u00e9quipement FortiGate compromis, se lat\u00e9raliser vers un \u00e9quipement FortiManager puis vers d'autres \u00e9quipements FortiGate m\u00eame si ces derniers ne sont pas expos\u00e9s sur Internet et qu'ils b\u00e9n\u00e9ficient des derniers correctifs de s\u00e9curit\u00e9.\n</span>\n\n**[Publication initiale]**\n\nUne vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte dans Fortinet FortiManager. Elle permet \u00e0 un attaquant non authentifi\u00e9 de provoquer une ex\u00e9cution de code arbitraire \u00e0 distance.\n\nFortinet indique que la vuln\u00e9rabilit\u00e9 CVE-2024-47575 est activement exploit\u00e9e. L'\u00e9diteur pr\u00e9cise qu'en exploitant cette vuln\u00e9rabilit\u00e9, un attaquant est en mesure d'exfiltrer des donn\u00e9es contenant des adresses IP, des secrets et des configurations des \u00e9quipements g\u00e9r\u00e9s par le FortiManager. ","title":"[M\u00e0J] Multiples vuln\u00e9rabilit\u00e9s dans Fortinet FortiManager","vendor_advisories":[{"published_at":"2024-10-23","title":"Bulletin de s\u00e9curit\u00e9 Fortinet FG-IR-24-423","url":"https://www.fortiguard.com/psirt/FG-IR-24-423"},{"published_at":"2025-01-14","title":"Bulletin de s\u00e9curit\u00e9 Fortinet FG-IR-24-463","url":"https://www.fortiguard.com/psirt/FG-IR-24-463"}]}