CERTFR-2024-ALE-014
Vulnerability from certfr_alerte

[Mise à jour du 14 janvier 2025] Publication des correctifs

Le 14 janvier 2025, Fortinet a publié un avis de sécurité relatif à la vulnérabilité CVE-2024-50566 qui correspond à la vulnérabilité de type jour-zéro pour laquelle une preuve de concept a été publiée en novembre 2024. Des correctifs de sécurité sont désormais disponibles et doivent être appliqués.

[Mise à jour du 15 novembre 2024] Le CERT-FR a connaissance d'une vulnérabilité de type jour-zéro non couverte par le correctif FG-IR-24-423.

Le 14 novembre 2024, le CERT-FR a pris connaissance d'une preuve de concept publique permettant l'exploitation d'une vulnérabilité de type jour-zéro affectant l'ensemble des équipements FortiManager et FortiAnalyzer avec la fonctionnalité FortiManager.

Cette vulnérabilité permet à un attaquant contrôlant un équipement FortiGate enregistré de prendre le contrôle de l'équipement FortiManager associé, même sur les versions les plus à jour. Un attaquant peut donc, depuis un équipement FortiGate compromis, se latéraliser vers un équipement FortiManager puis vers d'autres équipements FortiGate même si ces derniers ne sont pas exposés sur Internet et qu'ils bénéficient des derniers correctifs de sécurité.

[Publication initiale]

Une vulnérabilité a été découverte dans Fortinet FortiManager. Elle permet à un attaquant non authentifié de provoquer une exécution de code arbitraire à distance.

Fortinet indique que la vulnérabilité CVE-2024-47575 est activement exploitée. L'éditeur précise qu'en exploitant cette vulnérabilité, un attaquant est en mesure d'exfiltrer des données contenant des adresses IP, des secrets et des configurations des équipements gérés par le FortiManager.

Mesures de contournement

L'éditeur propose plusieurs mesures de contournement si la mise à jour est impossible dans l'immédiat. Celles-ci varient en fonction de la version de l'équipement et peuvent entraîner des effets de bord voire être contournées dans certaines situations.

Solutions

[Mise à jour du 14 janvier 2025] Publication des correctifs

Le 14 janvier 2025, Fortinet a publié un avis de sécurité relatif à la vulnérabilité CVE-2024-50566. Les mises à jour de sécurité sont disponibles et doivent être appliquées. Veuillez-vous référer à l'avis éditeur (FG-IR-24-463) pour la liste des versions correctives.

[Mise à jour du 24 octobre 2024] Précisions relatives aux recommandations du CERT-FR.

Le CERT-FR n'exclut pas la possibilité d'exploitations réalisées dans les mois précédant la publication de l'avis de l'éditeur. Il est donc nécessaire de chercher les indicateurs de compromissions mis à disposition par l'éditeur sur une période de temps correspondante. Le CERT-FR recommande également de faire une recherche en utilisant les indicateurs détaillés dans le billet de blogue de Mandiant [4]. Note : Ces indicateurs n'ont pas été qualifiés par le CERT-FR.

Des risques d'exploitation depuis l'intérieur du système d'information via un équipement préalablement compromis, ou un relais applicatif, sont possibles. Le CERT-FR recommande donc d'effectuer une recherche de compromission sur les équipements non-exposés sur Internet.

En cas de compromission ou de suspicion de compromission: * signaler l’événement auprès du CERT-FR en mettant en copie vos éventuels CSIRTs métier ; * rechercher toutes traces de latéralisation sur le reste du système d’information, notamment : * en cherchant les connexions ou tentatives de connexion vers Internet depuis l'équipement compromis ; * puis en cherchant ces adresses IP de destination pour vérifier si d’autres machines ont tenté une connexion ; * en identifiant l'ensemble des équipement Fortinet gérés par le FortiManager puis en examinant leurs journaux.

[Publication initiale] Des versions correctives sont disponibles pour la majorité des versions impactées. Le CERT-FR recommande l'application des mises à jour de sécurité dans les plus brefs délais. Pour les versions 6.4.x, 7.0 et 7.2 de FortiManager Cloud, l'éditeur indique de mettre à jour vers la version 7.4.5 ou ultérieure.

Fortinet met à disposition différents indicateurs de compromission dans son avis de sécurité.

En cas de suspicion de compromission, il est recommandé de consulter les bons réflexes en cas d'intrusion sur votre système d'information [1], ainsi que les fiches réflexe sur la compromission système [2] [3].

L'éditeur propose, dans son bulletin, des méthodes de remédiation. Néanmoins, le CERT-FR recommande tout d'abord d'isoler les équipements compromis du réseau et de réaliser un gel de données (instantané pour les machines virtuelles, isolement de l’équipement s’il s’agit d’une machine physique) à des fins d’investigations approfondies.

[Mise à jour du 14 janvier 2025] Publication des correctifs

L'éditeur a publié des correctifs pour la vulnérabilité de type jour-zéro désormais identifiée en tant que CVE-2024-50566. La liste des systèmes affectés a été mise à jour.

[Mise à jour du 15 novembre 2024] Le CERT-FR a connaissance d'une vulnérabilité de type jour-zéro

Le CERT-FR a connaissance d'une vulnérabilité de type jour-zéro affectant l'ensemble des équipements FortiManager et FortiAnalyzer avec la fonctionnalité FortiManager.

[Mise à jour du 24 octobre 2024]Mise à jour des systèmes affectés

L'éditeur a indiqué avoir publié de nouvelles versions correctives pour FortiManager Cloud. Fortinet précise que certains équipements FortiAnalyser sont également affectés. L'identification de ces équipements est précisée dans le bulletin éditeur.

Impacted products
Vendor Product Description
Fortinet FortiManager FortiManager versions 7.6.x antérieures à 7.6.2
Fortinet FortiManager FortiManager versions 7.2.x antérieures à 7.2.9
Fortinet FortiAnalyzer FortiAnalyzer modèles 1000E, 1000F, 2000E, 3000E, 3000F, 3000G, 3500E, 3500F, 3500G, 3700F, 3700G, 3900E avec la fonctionnalité FortiManager
Fortinet FortiManager FortiManager versions 6.4.x antérieures à 6.4.15
Fortinet FortiManager FortiManager versions 7.0.x antérieures à 7.0.13
Fortinet FortiManager FortiManager Cloud versions 7.4.x antérieures à 7.4.5
Fortinet FortiManager FortiManager versions 6.2.x antérieures à 6.2.13
Fortinet FortiManager FortiManager Cloud versions 7.2.x antérieures à 7.2.8
Fortinet FortiManager FortiManager versions 7.4.x antérieures à 7.4.6
Fortinet FortiManager FortiManager Cloud versions 6.4.x à 7.0.x antérieures à 7.0.13
References

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "FortiManager versions 7.6.x ant\u00e9rieures \u00e0 7.6.2",
      "product": {
        "name": "FortiManager",
        "vendor": {
          "name": "Fortinet",
          "scada": false
        }
      }
    },
    {
      "description": "FortiManager versions 7.2.x ant\u00e9rieures \u00e0 7.2.9",
      "product": {
        "name": "FortiManager",
        "vendor": {
          "name": "Fortinet",
          "scada": false
        }
      }
    },
    {
      "description": "FortiAnalyzer mod\u00e8les 1000E, 1000F, 2000E, 3000E, 3000F, 3000G, 3500E, 3500F, 3500G, 3700F, 3700G, 3900E avec la fonctionnalit\u00e9 FortiManager",
      "product": {
        "name": "FortiAnalyzer",
        "vendor": {
          "name": "Fortinet",
          "scada": false
        }
      }
    },
    {
      "description": "FortiManager versions 6.4.x ant\u00e9rieures \u00e0 6.4.15",
      "product": {
        "name": "FortiManager",
        "vendor": {
          "name": "Fortinet",
          "scada": false
        }
      }
    },
    {
      "description": "FortiManager versions 7.0.x ant\u00e9rieures \u00e0 7.0.13",
      "product": {
        "name": "FortiManager",
        "vendor": {
          "name": "Fortinet",
          "scada": false
        }
      }
    },
    {
      "description": "FortiManager Cloud versions 7.4.x ant\u00e9rieures \u00e0 7.4.5",
      "product": {
        "name": "FortiManager",
        "vendor": {
          "name": "Fortinet",
          "scada": false
        }
      }
    },
    {
      "description": "FortiManager versions 6.2.x ant\u00e9rieures \u00e0 6.2.13",
      "product": {
        "name": "FortiManager",
        "vendor": {
          "name": "Fortinet",
          "scada": false
        }
      }
    },
    {
      "description": "FortiManager Cloud versions 7.2.x ant\u00e9rieures \u00e0 7.2.8",
      "product": {
        "name": "FortiManager",
        "vendor": {
          "name": "Fortinet",
          "scada": false
        }
      }
    },
    {
      "description": "FortiManager versions 7.4.x ant\u00e9rieures \u00e0 7.4.6",
      "product": {
        "name": "FortiManager",
        "vendor": {
          "name": "Fortinet",
          "scada": false
        }
      }
    },
    {
      "description": "FortiManager Cloud versions 6.4.x \u00e0 7.0.x ant\u00e9rieures \u00e0 7.0.13",
      "product": {
        "name": "FortiManager",
        "vendor": {
          "name": "Fortinet",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": "**\u003cspan class=\"important-content\"\u003e[Mise \u00e0 jour du 14 janvier 2025]\u003c/span\u003e** \u003cspan class=\"important-content\"\u003e**Publication des correctifs**\u003c/span\u003e\n\nL\u0027\u00e9diteur a publi\u00e9 des correctifs pour la vuln\u00e9rabilit\u00e9 de type jour-z\u00e9ro d\u00e9sormais identifi\u00e9e en tant que CVE-2024-50566. La liste des syst\u00e8mes affect\u00e9s a \u00e9t\u00e9 mise \u00e0 jour.\n\n**[Mise \u00e0 jour du 15 novembre 2024]** Le CERT-FR a connaissance d\u0027une vuln\u00e9rabilit\u00e9 de type jour-z\u00e9ro\n\nLe CERT-FR a connaissance d\u0027une vuln\u00e9rabilit\u00e9 de type jour-z\u00e9ro affectant l\u0027ensemble des \u00e9quipements FortiManager et FortiAnalyzer avec la fonctionnalit\u00e9 FortiManager.\n\n**[Mise \u00e0 jour du 24 octobre 2024]Mise \u00e0 jour des syst\u00e8mes affect\u00e9s**\n\nL\u0027\u00e9diteur a indiqu\u00e9 avoir publi\u00e9 de nouvelles versions correctives pour FortiManager Cloud. Fortinet pr\u00e9cise que certains \u00e9quipements FortiAnalyser sont \u00e9galement affect\u00e9s. L\u0027identification de ces \u00e9quipements est pr\u00e9cis\u00e9e dans le bulletin \u00e9diteur. ",
  "closed_at": "2025-03-31",
  "content": "##\u00a0Mesures de contournement\n\nL\u0027\u00e9diteur propose plusieurs mesures de contournement si la mise \u00e0 jour est impossible dans l\u0027imm\u00e9diat. Celles-ci varient en fonction de la version de l\u0027\u00e9quipement et peuvent entra\u00eener des effets de bord voire \u00eatre contourn\u00e9es dans certaines situations.\n\n## Solutions\n\n**\u003cspan class=\"important-content\"\u003e[Mise \u00e0 jour du 14 janvier 2025]\u003c/span\u003e** \u003cspan class=\"important-content\"\u003e**Publication des correctifs**\u003c/span\u003e\n\nLe 14 janvier 2025, Fortinet a publi\u00e9 un avis de s\u00e9curit\u00e9 relatif \u00e0 la vuln\u00e9rabilit\u00e9 CVE-2024-50566. Les mises \u00e0 jour de s\u00e9curit\u00e9 sont disponibles et doivent \u00eatre appliqu\u00e9es. Veuillez-vous r\u00e9f\u00e9rer \u00e0 l\u0027avis \u00e9diteur (FG-IR-24-463) pour la liste des versions correctives.\n\n**[Mise \u00e0 jour du 24 octobre 2024] Pr\u00e9cisions relatives aux recommandations du CERT-FR.**\n\nLe CERT-FR n\u0027exclut pas la possibilit\u00e9 d\u0027exploitations r\u00e9alis\u00e9es dans les mois pr\u00e9c\u00e9dant la publication de l\u0027avis de l\u0027\u00e9diteur. Il est donc n\u00e9cessaire de chercher les indicateurs de compromissions mis \u00e0 disposition par l\u0027\u00e9diteur sur une p\u00e9riode de temps correspondante. Le CERT-FR recommande \u00e9galement de faire une recherche en utilisant les indicateurs d\u00e9taill\u00e9s dans le billet de blogue de Mandiant [4]. *Note : Ces indicateurs n\u0027ont pas \u00e9t\u00e9 qualifi\u00e9s par le CERT-FR.*\n\nDes risques d\u0027exploitation depuis l\u0027int\u00e9rieur du syst\u00e8me d\u0027information via un \u00e9quipement pr\u00e9alablement compromis, ou un relais applicatif, sont possibles. Le CERT-FR recommande donc d\u0027effectuer une recherche de compromission sur les \u00e9quipements non-expos\u00e9s sur Internet.\n\n\nEn cas de compromission ou de suspicion de compromission: \n* signaler l\u2019\u00e9v\u00e9nement aupr\u00e8s du CERT-FR en mettant en copie vos \u00e9ventuels CSIRTs m\u00e9tier ;\n* rechercher toutes traces de lat\u00e9ralisation sur le reste du syst\u00e8me d\u2019information, notamment :\n    * en cherchant les connexions ou tentatives de connexion vers Internet depuis l\u0027\u00e9quipement compromis ;\n    * puis en cherchant ces adresses IP de destination pour v\u00e9rifier si d\u2019autres machines ont tent\u00e9 une connexion ; \n    * en identifiant l\u0027ensemble des \u00e9quipement Fortinet g\u00e9r\u00e9s par le FortiManager puis en examinant leurs journaux.\n\n**[Publication initiale]**\nDes versions correctives sont disponibles pour la majorit\u00e9 des versions impact\u00e9es. Le CERT-FR recommande l\u0027application des mises \u00e0 jour de s\u00e9curit\u00e9 dans les plus brefs d\u00e9lais.\nPour les versions 6.4.x, 7.0 et 7.2 de FortiManager Cloud, l\u0027\u00e9diteur indique de mettre \u00e0 jour vers la version 7.4.5 ou ult\u00e9rieure. \n\nFortinet met \u00e0 disposition diff\u00e9rents indicateurs de compromission dans son avis de s\u00e9curit\u00e9.\n\nEn cas de suspicion de compromission, il est recommand\u00e9 de consulter les [bons r\u00e9flexes en cas d\u0027intrusion sur votre syst\u00e8me d\u0027information](https://www.cert.ssi.gouv.fr/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/) [1], ainsi que les fiches r\u00e9flexe sur la compromission syst\u00e8me [2] [3].\n\nL\u0027\u00e9diteur propose, dans son bulletin, des m\u00e9thodes de rem\u00e9diation. N\u00e9anmoins, le CERT-FR recommande tout d\u0027abord d\u0027isoler les \u00e9quipements compromis du r\u00e9seau et de r\u00e9aliser un gel de donn\u00e9es (instantan\u00e9 pour les machines virtuelles, isolement de l\u2019\u00e9quipement s\u2019il s\u2019agit d\u2019une machine physique) \u00e0 des fins d\u2019investigations approfondies. ",
  "cves": [
    {
      "name": "CVE-2024-50566",
      "url": "https://www.cve.org/CVERecord?id=CVE-2024-50566"
    },
    {
      "name": "CVE-2024-47575",
      "url": "https://www.cve.org/CVERecord?id=CVE-2024-47575"
    }
  ],
  "initial_release_date": "2024-10-30T00:00:00",
  "last_revision_date": "2025-03-31T00:00:00",
  "links": [
    {
      "title": "Avis CERTFR-2025-AVI-0030 du 14 janvier 2025",
      "url": "https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0030/"
    },
    {
      "title": "[4] Billet de blogue de Mandiant du 24 octobre 2024",
      "url": "https://cloud.google.com/blog/topics/threat-intelligence/fortimanager-zero-day-exploitation-cve-2024-47575?hl=en"
    },
    {
      "title": "[3] Fiche r\u00e9flexe Compromission syst\u00e8me - Endiguement",
      "url": "https://www.cert.ssi.gouv.fr/fiche/CERTFR-2024-RFX-006/"
    },
    {
      "title": "[1] Les bons r\u00e9flexes en cas d\u2019intrusion sur un syst\u00e8me d\u2019information",
      "url": "https://www.cert.ssi.gouv.fr/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/"
    },
    {
      "title": "[2]\u00a0Fiche r\u00e9flexe Compromission syst\u00e8me - Qualification",
      "url": "https://www.cert.ssi.gouv.fr/fiche/CERTFR-2024-RFX-005/"
    },
    {
      "title": "Avis CERTFR-2024-AVI-0917 du 23 octobre 2024",
      "url": "https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0917"
    }
  ],
  "reference": "CERTFR-2024-ALE-014",
  "revisions": [
    {
      "description": "Mise \u00e0 jour concernant la disponibilit\u00e9 de correctifs",
      "revision_date": "2024-10-30T00:00:00.000000"
    },
    {
      "description": "Reformulation",
      "revision_date": "2024-11-21T00:00:00.000000"
    },
    {
      "description": "Publication des correctifs de s\u00e9curit\u00e9 pour la vuln\u00e9rabilit\u00e9 CVE-2024-50566",
      "revision_date": "2025-01-14T00:00:00.000000"
    },
    {
      "description": "Mise \u00e0 jour des syst\u00e8mes affect\u00e9s et des recommandations du CERT-FR",
      "revision_date": "2024-10-24T00:00:00.000000"
    },
    {
      "description": "Le CERT-FR a connaissance d\u0027une vuln\u00e9rabilit\u00e9 de type jour-z\u00e9ro permettant de contourner partiellement le correctif FG-IR-24-423.",
      "revision_date": "2024-11-15T00:00:00.000000"
    },
    {
      "description": "    Cl\u00f4ture de l\u0027alerte. Cela ne signifie pas la fin d\u0027une menace. Seule l\u0027application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l\u0027exploitation de la vuln\u00e9rabilit\u00e9 correspondante.",
      "revision_date": "2025-03-31T00:00:00.000000"
    },
    {
      "description": "Version initiale",
      "revision_date": "2024-10-23T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    }
  ],
  "summary": "**\u003cspan class=\"important-content\"\u003e[Mise \u00e0 jour du 14 janvier 2025]\u003c/span\u003e** \u003cspan class=\"important-content\"\u003e**Publication des correctifs**\u003c/span\u003e\n\nLe 14 janvier 2025, Fortinet a publi\u00e9 un avis de s\u00e9curit\u00e9 relatif \u00e0 la vuln\u00e9rabilit\u00e9 CVE-2024-50566 qui correspond \u00e0 la vuln\u00e9rabilit\u00e9 de type jour-z\u00e9ro pour laquelle une preuve de concept a \u00e9t\u00e9 publi\u00e9e en novembre 2024. Des correctifs de s\u00e9curit\u00e9 sont d\u00e9sormais disponibles et doivent \u00eatre appliqu\u00e9s.\n\n**[Mise \u00e0 jour du 15 novembre 2024]** Le CERT-FR a connaissance d\u0027une vuln\u00e9rabilit\u00e9 de type jour-z\u00e9ro non couverte par le correctif FG-IR-24-423.\n\nLe 14 novembre 2024, le CERT-FR a pris connaissance d\u0027une preuve de concept publique permettant l\u0027exploitation d\u0027une vuln\u00e9rabilit\u00e9 de type jour-z\u00e9ro affectant l\u0027ensemble des \u00e9quipements FortiManager et FortiAnalyzer avec la fonctionnalit\u00e9 FortiManager.\n\u003c/span\u003e\n\u003c/br\u003e\u003c/br\u003e\nCette vuln\u00e9rabilit\u00e9 permet \u00e0 un attaquant contr\u00f4lant un \u00e9quipement FortiGate enregistr\u00e9 de prendre le contr\u00f4le de l\u0027\u00e9quipement FortiManager associ\u00e9, m\u00eame sur les versions les plus \u00e0 jour. Un attaquant peut donc, depuis un \u00e9quipement FortiGate compromis, se lat\u00e9raliser vers un \u00e9quipement FortiManager puis vers d\u0027autres \u00e9quipements FortiGate m\u00eame si ces derniers ne sont pas expos\u00e9s sur Internet et qu\u0027ils b\u00e9n\u00e9ficient des derniers correctifs de s\u00e9curit\u00e9.\n\u003c/span\u003e\n\n**[Publication initiale]**\n\nUne vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte dans Fortinet FortiManager. Elle permet \u00e0 un attaquant non authentifi\u00e9 de provoquer une ex\u00e9cution de code arbitraire \u00e0 distance.\n\nFortinet indique que la vuln\u00e9rabilit\u00e9 CVE-2024-47575 est activement exploit\u00e9e. L\u0027\u00e9diteur pr\u00e9cise qu\u0027en exploitant cette vuln\u00e9rabilit\u00e9, un attaquant est en mesure d\u0027exfiltrer des donn\u00e9es contenant des adresses IP, des secrets et des configurations des \u00e9quipements g\u00e9r\u00e9s par le FortiManager. ",
  "title": "[M\u00e0J] Multiples vuln\u00e9rabilit\u00e9s dans Fortinet FortiManager",
  "vendor_advisories": [
    {
      "published_at": "2025-01-14",
      "title": "Bulletin de s\u00e9curit\u00e9 Fortinet FG-IR-24-463",
      "url": "https://www.fortiguard.com/psirt/FG-IR-24-463"
    },
    {
      "published_at": "2024-10-23",
      "title": "Bulletin de s\u00e9curit\u00e9 Fortinet FG-IR-24-423",
      "url": "https://www.fortiguard.com/psirt/FG-IR-24-423"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.