Fortinet FortiGate FortiProxy - CVE-2022-40684

Fortinet : une faille critique dans les firewalls FortiGate et dans FortiProxy

10/10/2022 Florian BURNEL 2877 Views 2 Commentaires Firewall, Fortinet, Sécurité 1 min read

Si vous utilisez un pare-feu FortiGate ou un proxy FortiProxy, vous devez vous protéger contre la faille de sécurité CVE-2022-40684 sans attendre ! Faisons le point sur cette vulnérabilité qui affecte les clients de Fortinet.

La faille de sécurité CVE-2022-40684 permet à un attaquant non authentifié de s'authentifier à distance sur un appareil Fortinet vulnérable en outrepassant la page d'authentification du système. Les appareils accessibles sur Internet sont particulièrement exposés à des attaques. Une recherche sur Shodan permet de voir qu'il y a plus de 100 000 firewalls FortiGate exposés sur Internet, dans le monde entier, y compris en France. Dans le cas où l'interface de management est exposée, cette faille de sécurité représente un réel danger pour l'entreprise.

Dans son bulletin de sécurité, la société Fortinet décrit la vulnérabilité de cette façon : "Un contournement d'authentification utilisant un chemin ou un canal alternatif [CWE-88] dans FortiOS et FortiProxy peut permettre à un attaquant non authentifié d'effectuer des opérations sur l'interface d'administration via des requêtes HTTP ou HTTPS spécialement conçues."

Cette vulnérabilité est présente dans différentes versions des systèmes FortiOS et FortiProxy :

FortiOS : de la version 7.0.0 à la 7.0.6 et de la version 7.2.0 à la 7.2.1
FortiProxy : de la version 7.0.0 à la 7.0.6 et la version 7.2.0

Comment se protéger de la vulnérabilité CVE-2022-40684 ?

Fortinet a mis en ligne des correctifs de sécurité pour se protéger contre cette vulnérabilité critique, il s'agit des versions 7.0.7 et 7.2.2.

La multinationale incite ses clients à installer le correctif dès que possible : "Il s'agit d'une vulnérabilité critique qui doit être traitée avec la plus grande urgence." - En complément, Fortinet a notifié par e-mail ses clients pour les avertir de l'existence de cette vulnérabilité et de la nécessité de se protéger rapidement. Pour le moment, Fortinet n'a pas précisé si la vulnérabilité était activement exploitée ou non.

Si vous n'êtes pas en mesure d'installer le correctif de sécurité rapidement, il convient de mettre en place une politique pour limiter l'accès à l'interface d'administration afin que cet accès soit possible uniquement à partir de certaines adresses IP.

Source

Florian BURNEL

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

Nombre de posts de cet auteur : 5574.Voir tous les posts

2 thoughts on “Fortinet : une faille critique dans les firewalls FortiGate et dans FortiProxy”

Astoria
10/10/2022 à 16:16
Permalink

Mise à jour, 10/10/2022 :
Fortinet annonce que cette vulnérabilité est exploitée dans la nature.

Indicateur de compromission :
Vérifier la présence de « user= »Local_Process_Access » dans les logs.
Répondre
Astoria
10/10/2022 à 16:17
Permalink

Et petite précision:

Un attaquant distant pourrait l’exploiter via des requêtes HTTP/HTTPS spécialement formées sur l’interface d’administration afin de contourner l’authentification (même si la fonctionnalité « Trusted Host » est activée) et ainsi injecter des commandes arbitraires qui seront exécutées en tant qu’administrateur.
Répondre