CERTFR-2025-ALE-002
Vulnerability from certfr_alerte

[Mise à jour du 28 janvier 2025] Une preuve de concept permettant l'exploitation de cette vulnérabilité est disponible publiquement.

Le 14 janvier 2025, Fortinet a publié un avis de sécurité concernant la vulnérabilité critique CVE-2024-55591 affectant FortiOS et FortiProxy. Elle permet à un attaquant distant non authentifié de contourner le mécanisme d'authentification de l'interface d'administration d'un équipement FortiOS ou FortiProxy et d'obtenir des privilèges super-administrateur via l'envoi de requêtes forgées au module websocket Node.js.

Le CERT-FR rappelle que l'exposition d'une interface d'administration sur Internet est contraire aux bonnes pratiques. Le CERT-FR recommande donc fortement d'appliquer le correctif dans les plus brefs délais. Fortinet indique que cette vulnérabilité est activement exploitée.

Solutions

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

L'éditeur recommande les solutions de contournement suivantes : * désactiver l'interface d'administration HTTP/HTTPS ; * limiter les adresses IP qui peuvent joindre l'interface d'administration HTTP/HTTPS ; * créer une politique locale pour restreindre l'accès uniquement au groupe prédéfini sur l'interface de gestion.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des détails sur les mesures de contournement. * effectuer une recherche de compromission au niveau de l'équipement ;
Note : ces indicateurs n'ont pas été qualifiés par le CERT-FR. * rechercher toutes traces de latéralisation sur le reste du système d’information, notamment : * en cherchant les connexions ou tentatives de connexion vers Internet depuis l'équipement ; * puis en cherchant ces adresses IP de destination pour vérifier si d’autres machines ont tenté une connexion. * en cas de compromission détectée : * signaler l’événement auprès du CERT-FR en mettant en copie vos éventuels CSIRTs métier et consulter les bons réflexes en cas d'intrusion sur votre système d'information [1] ; * isoler l'équipement du réseau et sauvegarder les journaux liés à l'équipement.

Impacted products
Vendor Product Description
Fortinet FortiOS FortiOS versions 7.0.x antérieures à 7.0.17
Fortinet FortiProxy FortiProxy versions 7.0.x antérieures à 7.0.20
Fortinet FortiProxy FortiProxy versions 7.2.x antérieures à 7.2.13
References

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "FortiOS versions 7.0.x ant\u00e9rieures \u00e0 7.0.17",
      "product": {
        "name": "FortiOS",
        "vendor": {
          "name": "Fortinet",
          "scada": false
        }
      }
    },
    {
      "description": "FortiProxy versions 7.0.x ant\u00e9rieures \u00e0 7.0.20",
      "product": {
        "name": "FortiProxy",
        "vendor": {
          "name": "Fortinet",
          "scada": false
        }
      }
    },
    {
      "description": "FortiProxy versions 7.2.x ant\u00e9rieures \u00e0 7.2.13",
      "product": {
        "name": "FortiProxy",
        "vendor": {
          "name": "Fortinet",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": "",
  "closed_at": "2025-05-07",
  "content": "## Solutions\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des correctifs (cf. section Documentation).\n\nL\u0027\u00e9diteur recommande les solutions de contournement suivantes :\n* d\u00e9sactiver l\u0027interface d\u0027administration HTTP/HTTPS ;\n* limiter les adresses IP qui peuvent joindre l\u0027interface d\u0027administration HTTP/HTTPS ;\n* cr\u00e9er une politique locale pour restreindre l\u0027acc\u00e8s uniquement au groupe pr\u00e9d\u00e9fini sur l\u0027interface de gestion.\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des d\u00e9tails sur les mesures de contournement.\n* effectuer une recherche de compromission au niveau de l\u0027\u00e9quipement ;\n\u003cbr\u003e*Note : ces indicateurs n\u0027ont pas \u00e9t\u00e9 qualifi\u00e9s par le CERT-FR.*\n*  rechercher toutes traces de lat\u00e9ralisation sur le reste du syst\u00e8me d\u2019information, notamment :\n   * en cherchant les connexions ou tentatives de connexion vers Internet depuis l\u0027\u00e9quipement ;\n   * puis en cherchant ces adresses IP de destination pour v\u00e9rifier si d\u2019autres machines ont tent\u00e9 une connexion.\n* en cas de compromission d\u00e9tect\u00e9e :\n    * signaler l\u2019\u00e9v\u00e9nement aupr\u00e8s du CERT-FR en mettant en copie vos \u00e9ventuels CSIRTs m\u00e9tier et consulter les bons r\u00e9flexes en cas d\u0027intrusion sur votre syst\u00e8me d\u0027information [1] ;\n    * isoler l\u0027\u00e9quipement du r\u00e9seau et sauvegarder les journaux li\u00e9s \u00e0 l\u0027\u00e9quipement.\n",
  "cves": [
    {
      "name": "CVE-2024-55591",
      "url": "https://www.cve.org/CVERecord?id=CVE-2024-55591"
    }
  ],
  "initial_release_date": "2025-05-07T00:00:00",
  "last_revision_date": "2025-05-07T00:00:00",
  "links": [
    {
      "title": "Avis CERTFR-2025-AVI-0030 du 14 janvier 2025",
      "url": "https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0030/"
    },
    {
      "title": "[1] Les bons r\u00e9flexes en cas d\u2019intrusion sur un syst\u00e8me d\u2019information",
      "url": "https://www.cert.ssi.gouv.fr/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/"
    }
  ],
  "reference": "CERTFR-2025-ALE-002",
  "revisions": [
    {
      "description": "     Cl\u00f4ture de l\u0027alerte. Cela ne signifie pas la fin d\u0027une menace. Seule l\u0027application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l\u0027exploitation de la vuln\u00e9rabilit\u00e9 correspondante.",
      "revision_date": "2025-05-07T00:00:00.000000"
    },
    {
      "description": "Code d\u0027exploitation public",
      "revision_date": "2025-01-28T00:00:00.000000"
    },
    {
      "description": "Version initiale",
      "revision_date": "2025-01-14T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    },
    {
      "description": "Contournement de la politique de s\u00e9curit\u00e9"
    }
  ],
  "summary": "\u003cspan style=\"color: #ff0000;\"\u003e\u003cstrong\u003e\\[Mise \u00e0 jour du 28 janvier 2025\\]\u003c/strong\u003e\n\u003c/span\u003e\u003cstrong\u003e\nUne preuve de concept permettant l\u0027exploitation de cette vuln\u00e9rabilit\u00e9 est disponible publiquement. \u003c/strong\u003e\n\nLe 14 janvier 2025, Fortinet a publi\u00e9 un avis de s\u00e9curit\u00e9 concernant la vuln\u00e9rabilit\u00e9 critique CVE-2024-55591 affectant FortiOS et FortiProxy. Elle permet \u00e0 un attaquant distant non authentifi\u00e9 de contourner le m\u00e9canisme d\u0027authentification de l\u0027interface d\u0027administration d\u0027un \u00e9quipement FortiOS ou FortiProxy et d\u0027obtenir des privil\u00e8ges super-administrateur via l\u0027envoi de requ\u00eates forg\u00e9es au module websocket \u003ccode\u003eNode.js\u003c/code\u003e.\n\nLe CERT-FR rappelle que l\u0027exposition d\u0027une interface d\u0027administration sur Internet est contraire aux bonnes pratiques.\nLe CERT-FR recommande donc fortement d\u0027appliquer le correctif dans les plus brefs d\u00e9lais.\nFortinet indique que cette vuln\u00e9rabilit\u00e9 est activement exploit\u00e9e. \n",
  "title": "[M\u00e0J] Vuln\u00e9rabilit\u00e9 dans les produits Fortinet",
  "vendor_advisories": [
    {
      "published_at": "2025-01-14",
      "title": "Bulletin de s\u00e9curit\u00e9 FG-IR-24-535",
      "url": "https://fortiguard.fortinet.com/psirt/FG-IR-24-535"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.