certfr_alerte - certfr-2022-ale-011

CERTFR-2022-ALE-011

Vulnerability from certfr_alerte

Le 07 octobre 2022, des informations ont circulé concernant l’existence d’une vulnérabilité critique dans les produits Fortinet. Le 11 octobre 2022, l’éditeur a publié un avis de sécurité détaillant l’existence d’une vulnérabilité permettant à un attaquant non authentifié de pouvoir réaliser des actions au travers de l’interface d’administration.

L’éditeur indique que cette vulnérabilité a fait l’objet d’une attaque ciblée.

Le 13 octobre 2022, des chercheurs ont publié un rapport détaillé ainsi qu'une preuve de concept. Depuis cette publication, le CERT-FR constate que des variations de ce code d'exploitation sont publiquement disponibles.

Le CERT-FR anticipe des exploitations en masse de la vulnérabilité CVE-2022-40684, d'autant plus que de nombreuses interfaces d’administration de produits Fortinet sont exposées sur Internet.

L'exposition d'une interface de gestion sur Internet est contraire aux bonnes pratiques. Dans le cas où l’administration à distance est impératif, une première mesure temporaire peut consister à restreindre l'accès à des adresses ip de confiance. Il cependant conseillé de suivre les recommandations du guide publié par l'ANSSI pour la sécurisation de l'administration du SI [1].

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

L'application seule des correctifs n'est pas suffisante. En effet, si un attaquant a exploité la vulnérabilité avant leur application, il a pu déposer une porte dérobée qui lui permettra de se connecter ultérieurement au système. A titre d'exemple, les codes d’exploitation observés jusqu'ici déposent une clé publique SSH.

D'autres méthodes d'attaques, permettant, entre autres, des fuites de données ou une exécution de code arbitraire, ne sont pas à exclure.

Les tentatives d'exploitation liées à ces codes publics peuvent être détectées en vérifiant, dans les journaux de l'équipement, la présence d'un "User-Agent" égal à "Report Runner" ou "Node.js", ainsi que la présence du motif "127.0.0.1" dans le champ "Forwarded".

Ces marqueurs préliminaires sont fournis à titre indicatif et ne sont pas exhaustifs.

Contournement provisoire

Dans son avis de sécurité (cf. section Documentation), Fortinet détaille la procédure pour désactiver l'interface d’administration ou restreindre son accès à des adresses ip de confiance.

None

Impacted products

Vendor	Product	Description
Fortinet	FortiProxy	FortiProxy versions 7.2.x antérieures à 7.2.1
Fortinet	FortiProxy	FortiProxy versions 7.0.x antérieures à 7.0.7
Fortinet	FortiSwitchManager	FortiSwitchManager versions 7.x antérieures à 7.2.1
Fortinet	FortiOS	FortiOS versions 7.2.x antérieures à 7.2.2
Fortinet	FortiOS	FortiOS versions 7.0.x antérieures à 7.0.7

References

Title

Publication Time

Tags

Bulletin de sécurité Fortinet FG-IR-22-377 du 10 octobre 2022	None	vendor-advisory
Bulletin d'actualité CERT-FR CERTFR-2022-ACT-044 du 11 octobre 2022	-	other
[1] Recommandations relatives à l’administration sécurisée des systèmes d’information	-	other
Le guide d'hygiène informatique	-	other
Avis CERT-FR CERTFR-2022-AVI-894 du 11 octobre 2022	-	other
Les bons réflexes en cas d’intrusion sur un système d’information	-	other

Show details on source website

JSON

To clipboard

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "FortiProxy versions 7.2.x ant\u00e9rieures \u00e0 7.2.1",
      "product": {
        "name": "FortiProxy",
        "vendor": {
          "name": "Fortinet",
          "scada": false
        }
      }
    },
    {
      "description": "FortiProxy versions 7.0.x ant\u00e9rieures \u00e0 7.0.7",
      "product": {
        "name": "FortiProxy",
        "vendor": {
          "name": "Fortinet",
          "scada": false
        }
      }
    },
    {
      "description": "FortiSwitchManager versions 7.x ant\u00e9rieures \u00e0 7.2.1",
      "product": {
        "name": "FortiSwitchManager",
        "vendor": {
          "name": "Fortinet",
          "scada": false
        }
      }
    },
    {
      "description": "FortiOS versions 7.2.x ant\u00e9rieures \u00e0 7.2.2",
      "product": {
        "name": "FortiOS",
        "vendor": {
          "name": "Fortinet",
          "scada": false
        }
      }
    },
    {
      "description": "FortiOS versions 7.0.x ant\u00e9rieures \u00e0 7.0.7",
      "product": {
        "name": "FortiOS",
        "vendor": {
          "name": "Fortinet",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "closed_at": "2023-07-26",
  "content": "## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n\nL\u0027application seule des correctifs n\u0027est pas suffisante. En effet, si un\nattaquant a exploit\u00e9 la vuln\u00e9rabilit\u00e9 avant leur application, il a pu\nd\u00e9poser une porte d\u00e9rob\u00e9e qui lui permettra de se connecter\nult\u00e9rieurement au syst\u00e8me. A titre d\u0027exemple, les codes d\u2019exploitation\nobserv\u00e9s jusqu\u0027ici d\u00e9posent une cl\u00e9 publique SSH.\n\nD\u0027autres m\u00e9thodes d\u0027attaques, permettant, entre autres, des fuites de\ndonn\u00e9es ou une ex\u00e9cution de code arbitraire, ne sont pas \u00e0 exclure.\n\nLes tentatives d\u0027exploitation li\u00e9es \u00e0 ces codes publics peuvent \u00eatre\nd\u00e9tect\u00e9es en v\u00e9rifiant, dans les journaux de l\u0027\u00e9quipement, la pr\u00e9sence\nd\u0027un\u00a0*\"User-Agent\"* \u00e9gal \u00e0 *\"\u003cspan class=\"pl-s\"\u003eReport Runner\u003c/span\u003e\"*\nou *\"Node.js\"*, ainsi que la pr\u00e9sence du motif *\"127.0.0.1\"* dans le\nchamp *\"Forwarded\"*.\n\nCes marqueurs pr\u00e9liminaires sont fournis \u00e0 titre indicatif et ne sont\npas exhaustifs.\n\n## Contournement provisoire\n\nDans son avis de s\u00e9curit\u00e9 (cf. section Documentation), Fortinet d\u00e9taille\nla proc\u00e9dure pour d\u00e9sactiver l\u0027interface d\u2019administration ou restreindre\nson acc\u00e8s \u00e0 des adresses ip de confiance.\n",
  "cves": [
    {
      "name": "CVE-2022-40684",
      "url": "https://www.cve.org/CVERecord?id=CVE-2022-40684"
    }
  ],
  "initial_release_date": "2022-10-14T00:00:00",
  "last_revision_date": "2022-10-14T00:00:00",
  "links": [
    {
      "title": "Bulletin d\u0027actualit\u00e9 CERT-FR\u00a0CERTFR-2022-ACT-044\u00a0du 11 octobre 2022",
      "url": "https://www.cert.ssi.gouv.fr/actualite/CERTFR-2022-ACT-044/"
    },
    {
      "title": "[1] Recommandations relatives \u00e0 l\u2019administration s\u00e9curis\u00e9e des syst\u00e8mes d\u2019information",
      "url": "https://www.ssi.gouv.fr/administration/guide/securiser-ladministration-des-systemes-dinformation/"
    },
    {
      "title": "Le guide d\u0027hygi\u00e8ne informatique",
      "url": "https://www.ssi.gouv.fr/uploads/2017/01/guide_hygiene_informatique_anssi.pdf"
    },
    {
      "title": "Avis CERT-FR\u00a0CERTFR-2022-AVI-894 du 11 octobre 2022",
      "url": "https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-894/"
    },
    {
      "title": "Les bons r\u00e9flexes en cas d\u2019intrusion sur un syst\u00e8me d\u2019information",
      "url": "https://www.cert.ssi.gouv.fr/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/"
    }
  ],
  "reference": "CERTFR-2022-ALE-011",
  "revisions": [
    {
      "description": "Version initiale",
      "revision_date": "2022-10-14T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Contournement de la politique de s\u00e9curit\u00e9"
    },
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    }
  ],
  "summary": "Le 07 octobre 2022, des informations ont circul\u00e9 concernant l\u2019existence\nd\u2019une vuln\u00e9rabilit\u00e9 critique dans les produits Fortinet. Le 11 octobre\n2022, l\u2019\u00e9diteur a publi\u00e9 un avis de s\u00e9curit\u00e9 d\u00e9taillant l\u2019existence\nd\u2019une vuln\u00e9rabilit\u00e9 permettant \u00e0 un attaquant non authentifi\u00e9 de pouvoir\nr\u00e9aliser des actions au travers de l\u2019interface d\u2019administration.\n\nL\u2019\u00e9diteur indique que cette vuln\u00e9rabilit\u00e9 a fait l\u2019objet d\u2019une attaque\ncibl\u00e9e.\n\nLe 13 octobre 2022, des chercheurs ont publi\u00e9 un rapport d\u00e9taill\u00e9 ainsi\nqu\u0027une preuve de concept. Depuis cette publication, le CERT-FR constate\nque des variations de ce code d\u0027exploitation sont publiquement\ndisponibles.\n\nLe CERT-FR anticipe des exploitations en masse de la\nvuln\u00e9rabilit\u00e9\u00a0CVE-2022-40684, d\u0027autant plus que de nombreuses interfaces\nd\u2019administration de produits Fortinet sont expos\u00e9es sur Internet.\n\nL\u0027exposition d\u0027une interface de gestion sur Internet est contraire aux\nbonnes pratiques. Dans le cas o\u00f9 l\u2019administration \u00e0 distance est\nimp\u00e9ratif, une premi\u00e8re mesure temporaire peut consister \u00e0 restreindre\nl\u0027acc\u00e8s \u00e0 des adresses ip de confiance. Il cependant conseill\u00e9 de suivre\nles recommandations du guide publi\u00e9 par l\u0027ANSSI pour la s\u00e9curisation de\nl\u0027administration du SI \\[1\\].\n",
  "title": "Vuln\u00e9rabilit\u00e9 dans les produits Fortinet",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 Fortinet FG-IR-22-377 du 10 octobre 2022",
      "url": "https://www.fortiguard.com/psirt/FG-IR-22-377"
    }
  ]
}

CVE-2022-40684 (GCVE-0-2022-40684)

Vulnerability from cvelistv5

Published

2022-10-18 00:00

Modified

2025-10-21 23:15

Severity ?

9.8 (Critical) - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:F/RL:U/RC:C

CWE

Execute unauthorized code or commands

Summary

An authentication bypass using an alternate path or channel [CWE-288] in Fortinet FortiOS version 7.2.0 through 7.2.1 and 7.0.0 through 7.0.6, FortiProxy version 7.2.0 and version 7.0.0 through 7.0.6 and FortiSwitchManager version 7.2.0 and 7.0.0 allows an unauthenticated atttacker to perform operations on the administrative interface via specially crafted HTTP or HTTPS requests.

References

URL

Tags

	https://fortiguard.com/psirt/FG-IR-22-377
	http://packetstormsecurity.com/files/169431/Fortinet-FortiOS-FortiProxy-FortiSwitchManager-Authentication-Bypass.html
	http://packetstormsecurity.com/files/171515/Fortinet-7.2.1-Authentication-Bypass.html

Impacted products

	Vendor	Product	Version
	Fortinet	Fortinet FortiOS, FortiProxy, FortiSwitchManager	Version: FortiOS 7.2.1, 7.2.0, 7.0.6, 7.0.5, 7.0.4, 7.0.3, 7.0.2, 7.0.1, 7.0.0; FortiProxy 7.2.0, 7.0.6, 7.0.5, 7.0.4, 7.0.3, 7.0.2, 7.0.1, 7.0.0; FortiSwitchManager 7.2.0, 7.0.0

Show details on NVD website

JSON

To clipboard

{
  "containers": {
    "adp": [
      {
        "providerMetadata": {
          "dateUpdated": "2024-08-03T12:21:46.541Z",
          "orgId": "af854a3a-2127-422b-91ae-364da2661108",
          "shortName": "CVE"
        },
        "references": [
          {
            "tags": [
              "x_transferred"
            ],
            "url": "https://fortiguard.com/psirt/FG-IR-22-377"
          },
          {
            "tags": [
              "x_transferred"
            ],
            "url": "http://packetstormsecurity.com/files/169431/Fortinet-FortiOS-FortiProxy-FortiSwitchManager-Authentication-Bypass.html"
          },
          {
            "tags": [
              "x_transferred"
            ],
            "url": "http://packetstormsecurity.com/files/171515/Fortinet-7.2.1-Authentication-Bypass.html"
          }
        ],
        "title": "CVE Program Container"
      },
      {
        "metrics": [
          {
            "other": {
              "content": {
                "id": "CVE-2022-40684",
                "options": [
                  {
                    "Exploitation": "active"
                  },
                  {
                    "Automatable": "yes"
                  },
                  {
                    "Technical Impact": "total"
                  }
                ],
                "role": "CISA Coordinator",
                "timestamp": "2024-10-23T13:27:43.070187Z",
                "version": "2.0.3"
              },
              "type": "ssvc"
            }
          },
          {
            "other": {
              "content": {
                "dateAdded": "2022-10-11",
                "reference": "https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2022-40684"
              },
              "type": "kev"
            }
          }
        ],
        "providerMetadata": {
          "dateUpdated": "2025-10-21T23:15:33.167Z",
          "orgId": "134c704f-9b21-4f2e-91b3-4a467353bcc0",
          "shortName": "CISA-ADP"
        },
        "references": [
          {
            "tags": [
              "government-resource"
            ],
            "url": "https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2022-40684"
          }
        ],
        "timeline": [
          {
            "lang": "en",
            "time": "2022-10-11T00:00:00+00:00",
            "value": "CVE-2022-40684 added to CISA KEV"
          }
        ],
        "title": "CISA ADP Vulnrichment"
      }
    ],
    "cna": {
      "affected": [
        {
          "product": "Fortinet FortiOS, FortiProxy, FortiSwitchManager",
          "vendor": "Fortinet",
          "versions": [
            {
              "status": "affected",
              "version": "FortiOS 7.2.1, 7.2.0, 7.0.6, 7.0.5, 7.0.4, 7.0.3, 7.0.2, 7.0.1, 7.0.0; FortiProxy 7.2.0, 7.0.6, 7.0.5, 7.0.4, 7.0.3, 7.0.2, 7.0.1, 7.0.0; FortiSwitchManager 7.2.0, 7.0.0"
            }
          ]
        }
      ],
      "descriptions": [
        {
          "lang": "en",
          "value": "An authentication bypass using an alternate path or channel [CWE-288] in Fortinet FortiOS version 7.2.0 through 7.2.1 and 7.0.0 through 7.0.6, FortiProxy version 7.2.0 and version 7.0.0 through 7.0.6 and FortiSwitchManager version 7.2.0 and 7.0.0 allows an unauthenticated atttacker to perform operations on the administrative interface via specially crafted HTTP or HTTPS requests."
        }
      ],
      "metrics": [
        {
          "cvssV3_1": {
            "attackComplexity": "LOW",
            "attackVector": "NETWORK",
            "availabilityImpact": "HIGH",
            "baseScore": 9.8,
            "baseSeverity": "CRITICAL",
            "confidentialityImpact": "HIGH",
            "exploitCodeMaturity": "FUNCTIONAL",
            "integrityImpact": "HIGH",
            "privilegesRequired": "NONE",
            "remediationLevel": "UNAVAILABLE",
            "reportConfidence": "CONFIRMED",
            "scope": "UNCHANGED",
            "temporalScore": 9.6,
            "temporalSeverity": "CRITICAL",
            "userInteraction": "NONE",
            "vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:F/RL:U/RC:C",
            "version": "3.1"
          }
        }
      ],
      "problemTypes": [
        {
          "descriptions": [
            {
              "description": "Execute unauthorized code or commands",
              "lang": "en",
              "type": "text"
            }
          ]
        }
      ],
      "providerMetadata": {
        "dateUpdated": "2023-03-27T00:00:00.000Z",
        "orgId": "6abe59d8-c742-4dff-8ce8-9b0ca1073da8",
        "shortName": "fortinet"
      },
      "references": [
        {
          "url": "https://fortiguard.com/psirt/FG-IR-22-377"
        },
        {
          "url": "http://packetstormsecurity.com/files/169431/Fortinet-FortiOS-FortiProxy-FortiSwitchManager-Authentication-Bypass.html"
        },
        {
          "url": "http://packetstormsecurity.com/files/171515/Fortinet-7.2.1-Authentication-Bypass.html"
        }
      ]
    }
  },
  "cveMetadata": {
    "assignerOrgId": "6abe59d8-c742-4dff-8ce8-9b0ca1073da8",
    "assignerShortName": "fortinet",
    "cveId": "CVE-2022-40684",
    "datePublished": "2022-10-18T00:00:00.000Z",
    "dateReserved": "2022-09-14T00:00:00.000Z",
    "dateUpdated": "2025-10-21T23:15:33.167Z",
    "state": "PUBLISHED"
  },
  "dataType": "CVE_RECORD",
  "dataVersion": "5.1"
}

Sightings

Author	Source	Type	Date

Nomenclature

Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
Confirmed: The vulnerability is confirmed from an analyst perspective.
Published Proof of Concept: A public proof of concept is available for this vulnerability.
Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
Patched: This vulnerability was successfully patched by the user reporting the sighting.
Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
Not confirmed: The user expresses doubt about the veracity of the vulnerability.
Not patched: This vulnerability was not successfully patched by the user reporting the sighting.

Action not permitted

CERTFR-2022-ALE-011

Vulnerability from certfr_alerte

Solution

Contournement provisoire

CVE-2022-40684 (GCVE-0-2022-40684)

Vulnerability from cvelistv5

Tags

Sightings

Nomenclature