CERTFR-2023-ALE-004
Vulnerability from certfr_alerte

Le 12 juin 2023, Fortinet a publié un avis de sécurité concernant la vulnérabilité CVE-2023-27997. Celle-ci permet à un attaquant non authentifié d'exécuter du code arbitraire à distance sur des produits Fortinet qui proposent une fonctionnalité de VPN SSL.

Dans une communication supplémentaire (cf. section Documentation), Fortinet indique que cette vulnérabilité n'est exploitable que si la fonctionnalité VPN SSL est activée. De plus, celle-ci serait activement exploitée dans le cadre d'attaques ciblées.

Le CERT-FR a connaissance d'une preuve de concept disponible publiquement. En l'état, le code permet uniquement un déni de service à distance. Le CERT-FR recommande donc d'appliquer le correctif, disponible depuis le 9 juin 2023, dans les meilleurs délais.

La communication supplémentaire [1] de Fortinet contient également des recommandations utiles concernant la recherche de marqueurs de compromission, le durcissement de l'équipement ainsi que le rappel de bonnes pratiques de sécurité.

Solution

L'application seule des correctifs n'est pas suffisante. Il est fortement recommandé :

  • d'effectuer une analyse des systèmes, en cas de suspicion de compromission, il est recommandé de continuer les investigations afin de déterminer les actions prises par un éventuel attaquant [2];
  • d'appliquer les mesures de durcissement fournies par l'éditeur et de respecter les bonnes pratiques de sécurité.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

None
Impacted products
Vendor Product Description
Fortinet FortiProxy FortiProxy versions antérieures à 7.0.10
Fortinet FortiOS FortiOS versions 6.0.x antérieures à 6.0.17
Fortinet FortiOS FortiOS versions 6.2.x antérieures à 6.2.14
Fortinet FortiOS FortiOS-6K7K versions 6.0.x antérieures à 6.0.17
Fortinet FortiOS FortiOS versions 7.2.x antérieures à 7.2.5
Fortinet FortiOS FortiOS-6K7K versions 6.2.x antérieures à 6.2.15
Fortinet FortiOS FortiOS-6K7K versions 6.4.x antérieures à 6.4.13
Fortinet FortiProxy FortiProxy versions 7.2.x antérieures à 7.2.4
Fortinet FortiOS FortiOS-6K7K versions 7.0.x antérieures à 7.0.12
Fortinet FortiOS FortiOS versions 6.4.x antérieures à 6.4.13
Fortinet FortiOS FortiOS versions 7.0.x antérieures à 7.0.12
References

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "FortiProxy versions ant\u00e9rieures \u00e0 7.0.10",
      "product": {
        "name": "FortiProxy",
        "vendor": {
          "name": "Fortinet",
          "scada": false
        }
      }
    },
    {
      "description": "FortiOS versions 6.0.x ant\u00e9rieures \u00e0 6.0.17",
      "product": {
        "name": "FortiOS",
        "vendor": {
          "name": "Fortinet",
          "scada": false
        }
      }
    },
    {
      "description": "FortiOS versions 6.2.x ant\u00e9rieures \u00e0 6.2.14",
      "product": {
        "name": "FortiOS",
        "vendor": {
          "name": "Fortinet",
          "scada": false
        }
      }
    },
    {
      "description": "FortiOS-6K7K versions 6.0.x ant\u00e9rieures \u00e0 6.0.17",
      "product": {
        "name": "FortiOS",
        "vendor": {
          "name": "Fortinet",
          "scada": false
        }
      }
    },
    {
      "description": "FortiOS versions 7.2.x ant\u00e9rieures \u00e0 7.2.5",
      "product": {
        "name": "FortiOS",
        "vendor": {
          "name": "Fortinet",
          "scada": false
        }
      }
    },
    {
      "description": "FortiOS-6K7K versions 6.2.x ant\u00e9rieures \u00e0 6.2.15",
      "product": {
        "name": "FortiOS",
        "vendor": {
          "name": "Fortinet",
          "scada": false
        }
      }
    },
    {
      "description": "FortiOS-6K7K versions 6.4.x ant\u00e9rieures \u00e0 6.4.13",
      "product": {
        "name": "FortiOS",
        "vendor": {
          "name": "Fortinet",
          "scada": false
        }
      }
    },
    {
      "description": "FortiProxy versions 7.2.x ant\u00e9rieures \u00e0 7.2.4",
      "product": {
        "name": "FortiProxy",
        "vendor": {
          "name": "Fortinet",
          "scada": false
        }
      }
    },
    {
      "description": "FortiOS-6K7K versions 7.0.x ant\u00e9rieures \u00e0 7.0.12",
      "product": {
        "name": "FortiOS",
        "vendor": {
          "name": "Fortinet",
          "scada": false
        }
      }
    },
    {
      "description": "FortiOS versions 6.4.x ant\u00e9rieures \u00e0 6.4.13",
      "product": {
        "name": "FortiOS",
        "vendor": {
          "name": "Fortinet",
          "scada": false
        }
      }
    },
    {
      "description": "FortiOS versions 7.0.x ant\u00e9rieures \u00e0 7.0.12",
      "product": {
        "name": "FortiOS",
        "vendor": {
          "name": "Fortinet",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "closed_at": "2023-09-11",
  "content": "## Solution\n\nL\u0027application seule des correctifs n\u0027est pas suffisante. Il est\nfortement recommand\u00e9 :\n\n-   d\u0027effectuer une analyse des syst\u00e8mes, en cas de suspicion de\n    compromission, il est recommand\u00e9 de continuer les investigations\n    afin de d\u00e9terminer les actions prises par un \u00e9ventuel attaquant\n    \\[2\\];\n-   d\u0027appliquer les mesures de durcissement fournies par l\u0027\u00e9diteur et de\n    respecter les bonnes pratiques de s\u00e9curit\u00e9.\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
  "cves": [
    {
      "name": "CVE-2023-27997",
      "url": "https://www.cve.org/CVERecord?id=CVE-2023-27997"
    }
  ],
  "initial_release_date": "2023-06-13T00:00:00",
  "last_revision_date": "2023-09-11T00:00:00",
  "links": [
    {
      "title": "[2] Les bons r\u00e9flexes en cas d\u2019intrusion sur un syst\u00e8me d\u2019information",
      "url": "https://www.cert.ssi.gouv.fr/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/"
    },
    {
      "title": "Avis CERT-FR CERTFR-2023-AVI-0451 du 13 juin 2023",
      "url": "https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0451/"
    },
    {
      "title": "[1] Communication de Fortinet sur la vuln\u00e9rabilit\u00e9 CVE-2023-27997 du 12 juin 2023",
      "url": "https://www.fortinet.com/blog/psirt-blogs/analysis-of-cve-2023-27997-and-clarifications-on-volt-typhoon-campaign"
    }
  ],
  "reference": "CERTFR-2023-ALE-004",
  "revisions": [
    {
      "description": "Version initiale",
      "revision_date": "2023-06-13T00:00:00.000000"
    },
    {
      "description": "Cl\u00f4ture de l\u0027alerte. Cela ne signifie pas la fin d\u0027une menace. Seule l\u0027application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l\u0027exploitation de la vuln\u00e9rabilit\u00e9 correspondante.",
      "revision_date": "2023-09-11T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    }
  ],
  "summary": "Le 12 juin 2023, Fortinet a publi\u00e9 un avis de s\u00e9curit\u00e9 concernant la\nvuln\u00e9rabilit\u00e9 CVE-2023-27997. Celle-ci permet \u00e0 un attaquant non\nauthentifi\u00e9 d\u0027ex\u00e9cuter du code arbitraire \u00e0 distance sur des produits\nFortinet qui proposent une fonctionnalit\u00e9 de *VPN SSL*.\n\nDans une communication suppl\u00e9mentaire (cf. section Documentation),\nFortinet indique que cette vuln\u00e9rabilit\u00e9 n\u0027est exploitable que si la\nfonctionnalit\u00e9 *VPN SSL* est activ\u00e9e. De plus, celle-ci serait\nactivement exploit\u00e9e dans le cadre d\u0027attaques cibl\u00e9es.\n\nLe CERT-FR a connaissance d\u0027une preuve de concept disponible\npubliquement. En l\u0027\u00e9tat, le code permet uniquement un d\u00e9ni de service \u00e0\ndistance. Le CERT-FR recommande donc d\u0027appliquer le correctif,\ndisponible depuis le 9 juin 2023, dans les meilleurs d\u00e9lais.\n\nLa communication suppl\u00e9mentaire \\[1\\] de Fortinet contient \u00e9galement des\nrecommandations utiles concernant la recherche de marqueurs de\ncompromission, le durcissement de l\u0027\u00e9quipement ainsi que le rappel de\nbonnes pratiques de s\u00e9curit\u00e9.\n",
  "title": "Vuln\u00e9rabilit\u00e9 dans les produits Fortinet",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 FG-IR-23-097 du 12 juin 2023",
      "url": "https://www.fortiguard.com/psirt/FG-IR-23-097"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.