Objet: Vulnérabilité dans les produits Fortinet

Résumé

Le 14 janvier 2025, Fortinet a publié un avis de sécurité concernant la vulnérabilité critique CVE-2024-55591 affectant FortiOS et FortiProxy. Elle permet à un attaquant distant non authentifié de contourner le mécanisme d'authentification de l'interface d'administration d'un équipement FortiOS ou FortiProxy et d'obtenir des privilèges super-administrateur via l'envoi de requêtes forgées au module websocket Node.js.

Le CERT-FR rappelle que l'exposition d'une interface d'administration sur Internet est contraire aux bonnes pratiques. Le CERT-FR recommande donc fortement d'appliquer le correctif dans les plus brefs délais. Fortinet indique que cette vulnérabilité est activement exploitée.

Solutions

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

L'éditeur recommande les solutions de contournement suivantes :

• désactiver l'interface d'administration HTTP/HTTPS ;
• limiter les adresses IP qui peuvent joindre l'interface d'administration HTTP/HTTPS ;
• créer une politique locale pour restreindre l'accès uniquement au groupe prédéfini sur l'interface de gestion.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des détails sur les mesures de contournement.

• effectuer une recherche de compromission au niveau de l'équipement ;
  Note : ces indicateurs n'ont pas été qualifiés par le CERT-FR.
• rechercher toutes traces de latéralisation sur le reste du système d’information, notamment :
  • en cherchant les connexions ou tentatives de connexion vers Internet depuis l'équipement ;
  • puis en cherchant ces adresses IP de destination pour vérifier si d’autres machines ont tenté une connexion.
• en cas de compromission détectée :
  • signaler l’événement auprès du CERT-FR en mettant en copie vos éventuels CSIRTs métier et consulter les bons réflexes en cas d'intrusion sur votre système d'information [1] ;
  • isoler l'équipement du réseau et sauvegarder les journaux liés à l'équipement.