certfr_alerte - certfr-2023-ale-001

CERTFR-2023-ALE-001

Vulnerability from certfr_alerte

Le 07 mars 2023, Fortinet a publié un avis de sécurité détaillant l’existence d’une vulnérabilité de type traversée de chemin (path traversal) permettant à un attaquant authentifié avec un compte à privilèges de lire et d'écrire des fichiers arbitrairement au travers de l'interface en ligne de commande.

Le 09 mars 2023, Fortinet a publié un billet sur son blog détaillant l'analyse de la compromission de plateformes de pare-feux FortiGate avec le système FortiOS par l'exploitation de la vulnérabilité CVE-2022-41328 détaillé dans l'avis FG-IR-22-369.

Fortinet indique que cette vulnérabilité est activement exploitée dans le cadre d'attaques ciblées. C'est lors d'une réponse à incident impliquant des pare-feux FortiGate gérés par une console FortiManager que les équipes de Fortinet ont pu identifier les informations ci-dessous :

Le vecteur de compromission initial semble provenir de la console FortiManager, ceci est déduit par la temporalité et la ressemblance des attaques simultanées sur différents pare-feux gérés par la même console ;
Le fichier /sbin/init est modifié et le fichier /bin/fgfm est créé, notamment pour assurer la persistance et ajouter des fonctionnalités de contrôle ;
Dans les cas connus de l'éditeur, les pare-feux impactés ont été brutalement arrêtés et leur redémarrage a été empêché par une protection du système contre la modification du microgiciel (option FIPS).

Remarque : les moyens ayant permis la prise de contrôle de la console FortiManager ne sont pas précisés par l'éditeur (vols d'identifiants, exploitation d'une vulnérabilité précédente, ...).

Pour rappel, le CERT-FR recommande de mettre en place une infrastructure sécurisée pour l'administration des équipements et des services [1].

Solution

Le CERT-FR recommande fortement d’appliquer les correctifs fournis par l’éditeur, se référer à l’avis émis par le CERT-FR [2] pour plus d’informations.

L'application seule des correctifs n'est pas suffisante puisque les attaquants disposent de moyens de persistance leur permettant de se connecter ultérieurement au système.

Il est recommandé d'effectuer une analyse des systèmes FortiGate et FortiManager, notamment à l'aide des indicateurs de compromission fournis par l'éditeur dans son billet de blog et dans les précédents avis de sécurité émis. Ces marqueurs sont donnés à titre indicatif et n'ont pas été vérifiés par le CERT-FR.

None

Impacted products

Vendor	Product	Description
Fortinet	FortiOS	FortiOS versions 6.x antérieures à 6.4.12
Fortinet	FortiOS	FortiOS versions 7.2.x antérieures à 7.2.4
Fortinet	FortiOS	FortiOS versions 7.0.x antérieures à 7.0.10

References

Title

Publication Time

Tags

Bulletin de sécurité Fortinet FG-IR-22-369 du 07 mars 2023	None	vendor-advisory
[2] Avis CERT-FR CERTFR-2023-AVI-0199 du 08 mars 2023	-	other
[1] Recommandations relatives à l’administration sécurisée des systèmes d’information	-	other
Le guide d'hygiène informatique	-	other
Billet de blog Fortinet portant sur l'analyse de la vulnérabilité de l'avis FG-IR-22-369 du 09 mars 2023	-	other
Les bons réflexes en cas d’intrusion sur un système d’information	-	other

Show details on source website

JSON

To clipboard

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "FortiOS versions 6.x ant\u00e9rieures \u00e0 6.4.12",
      "product": {
        "name": "FortiOS",
        "vendor": {
          "name": "Fortinet",
          "scada": false
        }
      }
    },
    {
      "description": "FortiOS versions 7.2.x ant\u00e9rieures \u00e0 7.2.4",
      "product": {
        "name": "FortiOS",
        "vendor": {
          "name": "Fortinet",
          "scada": false
        }
      }
    },
    {
      "description": "FortiOS versions 7.0.x ant\u00e9rieures \u00e0 7.0.10",
      "product": {
        "name": "FortiOS",
        "vendor": {
          "name": "Fortinet",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "closed_at": "2023-07-26",
  "content": "## Solution\n\nLe CERT-FR recommande fortement d\u2019appliquer les correctifs fournis par\nl\u2019\u00e9diteur, se r\u00e9f\u00e9rer \u00e0 l\u2019avis \u00e9mis par le CERT-FR \\[2\\] pour plus\nd\u2019informations.\n\nL\u0027application seule des correctifs n\u0027est pas suffisante puisque les\nattaquants disposent de moyens de persistance leur permettant de se\nconnecter ult\u00e9rieurement au syst\u00e8me.\n\nIl est recommand\u00e9 d\u0027effectuer une analyse des syst\u00e8mes FortiGate et\nFortiManager, notamment \u00e0 l\u0027aide des indicateurs de compromission\nfournis par l\u0027\u00e9diteur dans son billet de blog et dans les pr\u00e9c\u00e9dents\navis de s\u00e9curit\u00e9 \u00e9mis. Ces marqueurs sont donn\u00e9s \u00e0 titre indicatif et\nn\u0027ont pas \u00e9t\u00e9 v\u00e9rifi\u00e9s par le CERT-FR.\n",
  "cves": [
    {
      "name": "CVE-2022-41328",
      "url": "https://www.cve.org/CVERecord?id=CVE-2022-41328"
    }
  ],
  "initial_release_date": "2023-03-14T00:00:00",
  "last_revision_date": "2023-03-14T00:00:00",
  "links": [
    {
      "title": "[2] Avis CERT-FR\u00a0CERTFR-2023-AVI-0199 du 08 mars 2023",
      "url": "https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0199/"
    },
    {
      "title": "[1] Recommandations relatives \u00e0 l\u2019administration s\u00e9curis\u00e9e des syst\u00e8mes d\u2019information",
      "url": "https://www.ssi.gouv.fr/administration/guide/securiser-ladministration-des-systemes-dinformation/"
    },
    {
      "title": "Le guide d\u0027hygi\u00e8ne informatique",
      "url": "https://www.ssi.gouv.fr/uploads/2017/01/guide_hygiene_informatique_anssi.pdf"
    },
    {
      "title": "Billet de blog Fortinet portant sur l\u0027analyse de la vuln\u00e9rabilit\u00e9 de l\u0027avis FG-IR-22-369 du 09 mars 2023",
      "url": "https://www.fortinet.com/blog/psirt-blogs/fg-ir-22-369-psirt-analysis"
    },
    {
      "title": "Les bons r\u00e9flexes en cas d\u2019intrusion sur un syst\u00e8me d\u2019information",
      "url": "https://www.cert.ssi.gouv.fr/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/"
    }
  ],
  "reference": "CERTFR-2023-ALE-001",
  "revisions": [
    {
      "description": "Version initiale",
      "revision_date": "2023-03-14T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Contournement de la politique de s\u00e9curit\u00e9"
    },
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    }
  ],
  "summary": "Le 07 mars 2023, Fortinet a publi\u00e9 un avis de s\u00e9curit\u00e9 d\u00e9taillant\nl\u2019existence d\u2019une vuln\u00e9rabilit\u00e9\u00a0de type travers\u00e9e de chemin (*path\ntraversal*) permettant \u00e0 un attaquant authentifi\u00e9 avec un compte \u00e0\nprivil\u00e8ges de lire et d\u0027\u00e9crire des fichiers arbitrairement au travers de\nl\u0027interface en ligne de commande.\n\nLe 09 mars 2023, Fortinet a publi\u00e9 un billet sur son blog d\u00e9taillant\nl\u0027analyse de la compromission de plateformes de pare-feux FortiGate avec\nle syst\u00e8me FortiOS par l\u0027exploitation de la vuln\u00e9rabilit\u00e9 CVE-2022-41328\nd\u00e9taill\u00e9 dans l\u0027avis FG-IR-22-369.\n\nFortinet indique que cette vuln\u00e9rabilit\u00e9 est activement exploit\u00e9e dans\nle cadre d\u0027attaques cibl\u00e9es. C\u0027est lors d\u0027une r\u00e9ponse \u00e0 incident\nimpliquant des pare-feux FortiGate g\u00e9r\u00e9s par une console FortiManager\nque les \u00e9quipes de Fortinet ont pu identifier les informations\nci-dessous :\n\n-   Le vecteur de compromission initial semble provenir de la console\n    FortiManager, ceci est d\u00e9duit par la temporalit\u00e9 et la ressemblance\n    des attaques simultan\u00e9es sur diff\u00e9rents pare-feux g\u00e9r\u00e9s par la m\u00eame\n    console ;\n-   Le fichier\u00a0*/sbin/init* est modifi\u00e9 et le fichier */bin/fgfm* est\n    cr\u00e9\u00e9, notamment pour assurer la persistance et ajouter des\n    fonctionnalit\u00e9s de contr\u00f4le ;\n-   Dans les cas connus de l\u0027\u00e9diteur, les pare-feux impact\u00e9s ont \u00e9t\u00e9\n    brutalement arr\u00eat\u00e9s et leur red\u00e9marrage a \u00e9t\u00e9 emp\u00each\u00e9 par une\n    protection du syst\u00e8me contre la modification du microgiciel (option\n    FIPS).\n\nRemarque : les moyens ayant permis la prise de contr\u00f4le de la console\nFortiManager ne sont pas pr\u00e9cis\u00e9s par l\u0027\u00e9diteur\u00a0 (vols d\u0027identifiants,\nexploitation d\u0027une vuln\u00e9rabilit\u00e9 pr\u00e9c\u00e9dente, ...).\n\n\u003cspan class=\"mx_EventTile_body\" dir=\"auto\"\u003ePour rappel\u003c/span\u003e, le\nCERT-FR recommande de mettre en place une infrastructure s\u00e9curis\u00e9e pour\nl\u0027administration des \u00e9quipements et des services \\[1\\].\n",
  "title": "Vuln\u00e9rabilit\u00e9 dans Fortinet FortiOS",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 Fortinet FG-IR-22-369 du 07 mars 2023",
      "url": "https://www.fortiguard.com/psirt/FG-IR-22-369"
    }
  ]
}

CVE-2022-41328 (GCVE-0-2022-41328)

Vulnerability from cvelistv5

Published

2023-03-07 16:04

Modified

2025-10-21 23:15

Severity ?

6.7 (Medium) - CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H/E:F/RC:C

CWE

CWE-22 - Execute unauthorized code or commands

Summary

A improper limitation of a pathname to a restricted directory vulnerability ('path traversal') [CWE-22] in Fortinet FortiOS version 7.2.0 through 7.2.3, 7.0.0 through 7.0.9 and before 6.4.11 allows a privileged attacker to read and write files on the underlying Linux system via crafted CLI commands.

References

URL

Tags

https://fortiguard.com/psirt/FG-IR-22-369

Impacted products

	Vendor	Product	Version
	Fortinet	FortiOS	Version: 7.2.0 ≤ 7.2.3 Version: 7.0.0 ≤ 7.0.9 Version: 6.4.0 ≤ 6.4.11 Version: 6.2.0 ≤ 6.2.13 Version: 6.0.0 ≤ 6.0.16

Show details on NVD website

JSON

To clipboard

{
  "containers": {
    "adp": [
      {
        "providerMetadata": {
          "dateUpdated": "2024-08-03T12:42:46.124Z",
          "orgId": "af854a3a-2127-422b-91ae-364da2661108",
          "shortName": "CVE"
        },
        "references": [
          {
            "name": "https://fortiguard.com/psirt/FG-IR-22-369",
            "tags": [
              "x_transferred"
            ],
            "url": "https://fortiguard.com/psirt/FG-IR-22-369"
          }
        ],
        "title": "CVE Program Container"
      },
      {
        "metrics": [
          {
            "other": {
              "content": {
                "id": "CVE-2022-41328",
                "options": [
                  {
                    "Exploitation": "active"
                  },
                  {
                    "Automatable": "no"
                  },
                  {
                    "Technical Impact": "total"
                  }
                ],
                "role": "CISA Coordinator",
                "timestamp": "2024-10-23T13:25:59.359904Z",
                "version": "2.0.3"
              },
              "type": "ssvc"
            }
          },
          {
            "other": {
              "content": {
                "dateAdded": "2023-03-14",
                "reference": "https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2022-41328"
              },
              "type": "kev"
            }
          }
        ],
        "providerMetadata": {
          "dateUpdated": "2025-10-21T23:15:24.263Z",
          "orgId": "134c704f-9b21-4f2e-91b3-4a467353bcc0",
          "shortName": "CISA-ADP"
        },
        "references": [
          {
            "tags": [
              "government-resource"
            ],
            "url": "https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2022-41328"
          }
        ],
        "timeline": [
          {
            "lang": "en",
            "time": "2023-03-14T00:00:00+00:00",
            "value": "CVE-2022-41328 added to CISA KEV"
          }
        ],
        "title": "CISA ADP Vulnrichment"
      }
    ],
    "cna": {
      "affected": [
        {
          "defaultStatus": "unaffected",
          "product": "FortiOS",
          "vendor": "Fortinet",
          "versions": [
            {
              "lessThanOrEqual": "7.2.3",
              "status": "affected",
              "version": "7.2.0",
              "versionType": "semver"
            },
            {
              "lessThanOrEqual": "7.0.9",
              "status": "affected",
              "version": "7.0.0",
              "versionType": "semver"
            },
            {
              "lessThanOrEqual": "6.4.11",
              "status": "affected",
              "version": "6.4.0",
              "versionType": "semver"
            },
            {
              "lessThanOrEqual": "6.2.13",
              "status": "affected",
              "version": "6.2.0",
              "versionType": "semver"
            },
            {
              "lessThanOrEqual": "6.0.16",
              "status": "affected",
              "version": "6.0.0",
              "versionType": "semver"
            }
          ]
        }
      ],
      "descriptions": [
        {
          "lang": "en",
          "value": "A improper limitation of a pathname to a restricted directory vulnerability (\u0027path traversal\u0027) [CWE-22] in Fortinet FortiOS version 7.2.0 through 7.2.3, 7.0.0 through 7.0.9 and before 6.4.11 allows a privileged attacker to read and write files on the underlying Linux system via crafted CLI commands."
        }
      ],
      "metrics": [
        {
          "cvssV3_1": {
            "attackComplexity": "LOW",
            "attackVector": "LOCAL",
            "availabilityImpact": "HIGH",
            "baseScore": 6.5,
            "baseSeverity": "MEDIUM",
            "confidentialityImpact": "HIGH",
            "integrityImpact": "HIGH",
            "privilegesRequired": "HIGH",
            "scope": "UNCHANGED",
            "userInteraction": "NONE",
            "vectorString": "CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H/E:F/RL:X/RC:C",
            "version": "3.1"
          },
          "format": "CVSS"
        }
      ],
      "problemTypes": [
        {
          "descriptions": [
            {
              "cweId": "CWE-22",
              "description": "Execute unauthorized code or commands",
              "lang": "en",
              "type": "CWE"
            }
          ]
        }
      ],
      "providerMetadata": {
        "dateUpdated": "2023-03-07T16:04:52.461Z",
        "orgId": "6abe59d8-c742-4dff-8ce8-9b0ca1073da8",
        "shortName": "fortinet"
      },
      "references": [
        {
          "name": "https://fortiguard.com/psirt/FG-IR-22-369",
          "url": "https://fortiguard.com/psirt/FG-IR-22-369"
        }
      ],
      "solutions": [
        {
          "lang": "en",
          "value": "Please upgrade to FortiOS version 7.2.4 or above\r\nPlease upgrade to FortiOS version 7.0.10 or above\r\nPlease upgrade to FortiOS version 6.4.12 or above"
        }
      ]
    }
  },
  "cveMetadata": {
    "assignerOrgId": "6abe59d8-c742-4dff-8ce8-9b0ca1073da8",
    "assignerShortName": "fortinet",
    "cveId": "CVE-2022-41328",
    "datePublished": "2023-03-07T16:04:52.461Z",
    "dateReserved": "2022-09-23T15:07:35.781Z",
    "dateUpdated": "2025-10-21T23:15:24.263Z",
    "state": "PUBLISHED"
  },
  "dataType": "CVE_RECORD",
  "dataVersion": "5.1"
}

Sightings

Author	Source	Type	Date

Nomenclature

Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
Confirmed: The vulnerability is confirmed from an analyst perspective.
Published Proof of Concept: A public proof of concept is available for this vulnerability.
Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
Patched: This vulnerability was successfully patched by the user reporting the sighting.
Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
Not confirmed: The user expresses doubt about the veracity of the vulnerability.
Not patched: This vulnerability was not successfully patched by the user reporting the sighting.

Action not permitted

CERTFR-2023-ALE-001

Vulnerability from certfr_alerte

Solution

CVE-2022-41328 (GCVE-0-2022-41328)

Vulnerability from cvelistv5

Tags

Sightings

Nomenclature