CERTFR-2022-ALE-012
Vulnerability from certfr_alerte

Le 12 décembre 2022, l'éditeur Fortinet a publié un avis de sécurité mentionnant une vulnérabilité critique dans son produit FortiOS SSL-VPN. Cette vulnérabilité de débordement de tas (heap overflow) permet à un attaquant distant non authentifié d'exécuter du code ou des commandes arbitraires via des requêtes spécifiquement conçues.

Fortinet a connaissance d'un cas où cette vulnérabilité a été exploitée. Le CERT-FR anticipe des exploitations en masse de la vulnérabilité CVE-2022-42475, d'autant plus que de nombreuses interfaces d’administration de produits Fortinet sont exposées sur Internet.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

DÉTECTION

L'application seule des correctifs n'est pas suffisante. En effet, si un attaquant a exploité la vulnérabilité avant leur application, il a pu déposer une porte dérobée qui lui permettra de se connecter ultérieurement au système.

Il est recommandé d'effectuer une analyse des systèmes notamment à l'aide des indicateurs de compromission fournis par l'éditeur : https://www.fortiguard.com/psirt/FG-IR-22-398. Ces marqueurs préliminaires sont fournis à titre indicatif et ne sont pas exhaustifs.

Contournement provisoire

Il est recommandé de désactiver le service VPN.

None
Impacted products
Vendor Product Description
Fortinet FortiOS FortiOS versions antérieures à 6.2.12
Fortinet FortiOS FortiOS-6K7K versions 6.0.x antérieures à 6.0.15
Fortinet FortiOS FortiOS-6K7K versions 6.4.x antérieures à 6.4.10
Fortinet FortiOS FortiOS-6K7K versions 7.0.x antérieures à 7.0.8
Fortinet FortiOS FortiOS versions 6.4.x antérieures à 6.4.11
Fortinet FortiOS FortiOS versions 7.2.x antérieures à 7.2.3
Fortinet FortiOS FortiOS-6K7K versions 6.2.x antérieures à 6.2.12
Fortinet FortiOS FortiOS versions 7.0.x antérieures à 7.0.9
References

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "FortiOS versions ant\u00e9rieures \u00e0 6.2.12",
      "product": {
        "name": "FortiOS",
        "vendor": {
          "name": "Fortinet",
          "scada": false
        }
      }
    },
    {
      "description": "FortiOS-6K7K versions 6.0.x ant\u00e9rieures \u00e0 6.0.15",
      "product": {
        "name": "FortiOS",
        "vendor": {
          "name": "Fortinet",
          "scada": false
        }
      }
    },
    {
      "description": "FortiOS-6K7K versions 6.4.x ant\u00e9rieures \u00e0 6.4.10",
      "product": {
        "name": "FortiOS",
        "vendor": {
          "name": "Fortinet",
          "scada": false
        }
      }
    },
    {
      "description": "FortiOS-6K7K versions 7.0.x ant\u00e9rieures \u00e0 7.0.8",
      "product": {
        "name": "FortiOS",
        "vendor": {
          "name": "Fortinet",
          "scada": false
        }
      }
    },
    {
      "description": "FortiOS versions 6.4.x ant\u00e9rieures \u00e0 6.4.11",
      "product": {
        "name": "FortiOS",
        "vendor": {
          "name": "Fortinet",
          "scada": false
        }
      }
    },
    {
      "description": "FortiOS versions 7.2.x ant\u00e9rieures \u00e0 7.2.3",
      "product": {
        "name": "FortiOS",
        "vendor": {
          "name": "Fortinet",
          "scada": false
        }
      }
    },
    {
      "description": "FortiOS-6K7K versions 6.2.x ant\u00e9rieures \u00e0 6.2.12",
      "product": {
        "name": "FortiOS",
        "vendor": {
          "name": "Fortinet",
          "scada": false
        }
      }
    },
    {
      "description": "FortiOS versions 7.0.x ant\u00e9rieures \u00e0 7.0.9",
      "product": {
        "name": "FortiOS",
        "vendor": {
          "name": "Fortinet",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "closed_at": "2023-07-26",
  "content": "## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n\n## D\u00c9TECTION\n\nL\u0027application seule des correctifs n\u0027est pas suffisante. En effet, si un\nattaquant a exploit\u00e9 la vuln\u00e9rabilit\u00e9 avant leur application, il a pu\nd\u00e9poser une porte d\u00e9rob\u00e9e qui lui permettra de se connecter\nult\u00e9rieurement au syst\u00e8me.\n\nIl est recommand\u00e9 d\u0027effectuer une analyse des syst\u00e8mes notamment \u00e0\nl\u0027aide des indicateurs de compromission fournis par l\u0027\u00e9diteur :\n\u003chttps://www.fortiguard.com/psirt/FG-IR-22-398\u003e. Ces marqueurs\npr\u00e9liminaires sont fournis \u00e0 titre indicatif et ne sont pas exhaustifs.\n\n## Contournement provisoire\n\nIl est recommand\u00e9 de d\u00e9sactiver le service VPN.\n",
  "cves": [
    {
      "name": "CVE-2022-42475",
      "url": "https://www.cve.org/CVERecord?id=CVE-2022-42475"
    }
  ],
  "initial_release_date": "2022-12-13T00:00:00",
  "last_revision_date": "2022-12-20T00:00:00",
  "links": [
    {
      "title": "Avis CERTFR-2022-AVI-1090 du 13 d\u00e9cembre 2022 https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-1090",
      "url": "https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-1090/"
    },
    {
      "title": "[1] Recommandations relatives \u00e0 l\u2019administration s\u00e9curis\u00e9e des syst\u00e8mes d\u2019information",
      "url": "https://www.ssi.gouv.fr/administration/guide/securiser-ladministration-des-systemes-dinformation/"
    },
    {
      "title": "Le guide d\u0027hygi\u00e8ne informatique",
      "url": "https://www.ssi.gouv.fr/uploads/2017/01/guide_hygiene_informatique_anssi.pdf"
    },
    {
      "title": "Les bons r\u00e9flexes en cas d\u2019intrusion sur un syst\u00e8me d\u2019information",
      "url": "https://www.cert.ssi.gouv.fr/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/"
    }
  ],
  "reference": "CERTFR-2022-ALE-012",
  "revisions": [
    {
      "description": "Modification des versions affect\u00e9es par la vuln\u00e9rabilit\u00e9 CVE-2022-42475",
      "revision_date": "2022-12-13T00:00:00.000000"
    },
    {
      "description": "Version initiale",
      "revision_date": "2022-12-13T00:00:00.000000"
    },
    {
      "description": "ajout du terme anglais pour \"d\u00e9passement de tas\"",
      "revision_date": "2022-12-20T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    }
  ],
  "summary": "Le 12 d\u00e9cembre 2022, l\u0027\u00e9diteur Fortinet a publi\u00e9 un avis de s\u00e9curit\u00e9\nmentionnant une vuln\u00e9rabilit\u00e9 critique dans son produit FortiOS SSL-VPN.\nCette vuln\u00e9rabilit\u00e9 de d\u00e9bordement de tas (*heap overflow*) permet \u00e0 un\nattaquant distant non authentifi\u00e9 d\u0027ex\u00e9cuter du code ou des commandes\narbitraires *via* des requ\u00eates sp\u00e9cifiquement con\u00e7ues.\n\nFortinet a connaissance d\u0027un cas o\u00f9 cette vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 exploit\u00e9e.\nLe CERT-FR anticipe des exploitations en masse de la vuln\u00e9rabilit\u00e9\nCVE-2022-42475, d\u0027autant plus que de nombreuses interfaces\nd\u2019administration de produits Fortinet sont expos\u00e9es sur Internet.\n",
  "title": "[M\u00e0J] Vuln\u00e9rabilit\u00e9 dans FortiOS SSL-VPN",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 Fortinet FG-IR-22-398 du 12 d\u00e9cembre 2022",
      "url": "https://www.fortiguard.com/psirt/FG-IR-22-398"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.