{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"FortiOS versions 7.0.x ant\u00e9rieures \u00e0 7.0.17","product":{"name":"FortiOS","vendor":{"name":"Fortinet","scada":false}}},{"description":"FortiProxy versions 7.0.x ant\u00e9rieures \u00e0 7.0.20","product":{"name":"FortiProxy","vendor":{"name":"Fortinet","scada":false}}},{"description":"FortiProxy versions 7.2.x ant\u00e9rieures \u00e0 7.2.13","product":{"name":"FortiProxy","vendor":{"name":"Fortinet","scada":false}}}],"affected_systems_content":"","closed_at":"2025-05-07","content":"## Solutions\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des correctifs (cf. section Documentation).\n\nL'\u00e9diteur recommande les solutions de contournement suivantes :\n* d\u00e9sactiver l'interface d'administration HTTP/HTTPS ;\n* limiter les adresses IP qui peuvent joindre l'interface d'administration HTTP/HTTPS ;\n* cr\u00e9er une politique locale pour restreindre l'acc\u00e8s uniquement au groupe pr\u00e9d\u00e9fini sur l'interface de gestion.\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des d\u00e9tails sur les mesures de contournement.\n* effectuer une recherche de compromission au niveau de l'\u00e9quipement ;\n<br>*Note : ces indicateurs n'ont pas \u00e9t\u00e9 qualifi\u00e9s par le CERT-FR.*\n*  rechercher toutes traces de lat\u00e9ralisation sur le reste du syst\u00e8me d\u2019information, notamment :\n   * en cherchant les connexions ou tentatives de connexion vers Internet depuis l'\u00e9quipement ;\n   * puis en cherchant ces adresses IP de destination pour v\u00e9rifier si d\u2019autres machines ont tent\u00e9 une connexion.\n* en cas de compromission d\u00e9tect\u00e9e :\n    * signaler l\u2019\u00e9v\u00e9nement aupr\u00e8s du CERT-FR en mettant en copie vos \u00e9ventuels CSIRTs m\u00e9tier et consulter les bons r\u00e9flexes en cas d'intrusion sur votre syst\u00e8me d'information [1] ;\n    * isoler l'\u00e9quipement du r\u00e9seau et sauvegarder les journaux li\u00e9s \u00e0 l'\u00e9quipement.\n","cves":[{"name":"CVE-2024-55591","url":"https://www.cve.org/CVERecord?id=CVE-2024-55591"}],"links":[{"title":"Avis CERTFR-2025-AVI-0030 du 14 janvier 2025","url":"https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0030/"},{"title":"[1] Les bons r\u00e9flexes en cas d\u2019intrusion sur un syst\u00e8me d\u2019information","url":"https://www.cert.ssi.gouv.fr/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/"}],"reference":"CERTFR-2025-ALE-002","revisions":[{"description":"Version initiale","revision_date":"2025-01-14T00:00:00.000000"},{"description":"Code d'exploitation public","revision_date":"2025-01-28T00:00:00.000000"},{"description":"     Cl\u00f4ture de l'alerte. Cela ne signifie pas la fin d'une menace. Seule l'application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l'exploitation de la vuln\u00e9rabilit\u00e9 correspondante.","revision_date":"2025-05-07T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"},{"description":"Contournement de la politique de s\u00e9curit\u00e9"}],"summary":"<span style=\"color: #ff0000;\"><strong>\\[Mise \u00e0 jour du 28 janvier 2025\\]</strong>\n</span><strong>\nUne preuve de concept permettant l'exploitation de cette vuln\u00e9rabilit\u00e9 est disponible publiquement. </strong>\n\nLe 14 janvier 2025, Fortinet a publi\u00e9 un avis de s\u00e9curit\u00e9 concernant la vuln\u00e9rabilit\u00e9 critique CVE-2024-55591 affectant FortiOS et FortiProxy. Elle permet \u00e0 un attaquant distant non authentifi\u00e9 de contourner le m\u00e9canisme d'authentification de l'interface d'administration d'un \u00e9quipement FortiOS ou FortiProxy et d'obtenir des privil\u00e8ges super-administrateur via l'envoi de requ\u00eates forg\u00e9es au module websocket <code>Node.js</code>.\n\nLe CERT-FR rappelle que l'exposition d'une interface d'administration sur Internet est contraire aux bonnes pratiques.\nLe CERT-FR recommande donc fortement d'appliquer le correctif dans les plus brefs d\u00e9lais.\nFortinet indique que cette vuln\u00e9rabilit\u00e9 est activement exploit\u00e9e. \n","title":"[M\u00e0J] Vuln\u00e9rabilit\u00e9 dans les produits Fortinet","vendor_advisories":[{"published_at":"2025-01-14","title":"Bulletin de s\u00e9curit\u00e9 FG-IR-24-535","url":"https://fortiguard.fortinet.com/psirt/FG-IR-24-535"}]}