[MàJ] Vulnérabilité dans les produits Fortinet
Alerte Cyber

[MàJ] Vulnérabilité dans les produits Fortinet

artia13 10 Views

Résumé

[Mise à jour du 28 janvier 2025]

Une preuve de concept permettant l’exploitation de cette vulnérabilité est disponible publiquement.

Le 14 janvier 2025, Fortinet a publié un avis de sécurité concernant la vulnérabilité critique CVE-2024-55591 affectant FortiOS et FortiProxy. Elle permet à un attaquant distant non authentifié de contourner le mécanisme d’authentification de l’interface d’administration d’un équipement FortiOS ou FortiProxy et d’obtenir des privilèges super-administrateur via l’envoi de requêtes forgées au module websocket Node.js.

Le CERT-FR rappelle que l’exposition d’une interface d’administration sur Internet est contraire aux bonnes pratiques.
Le CERT-FR recommande donc fortement d’appliquer le correctif dans les plus brefs délais.
Fortinet indique que cette vulnérabilité est activement exploitée.

Solutions

Se référer au bulletin de sécurité de l’éditeur pour l’obtention des correctifs (cf. section Documentation).

L’éditeur recommande les solutions de contournement suivantes :

  • désactiver l’interface d’administration HTTP/HTTPS ;
  • limiter les adresses IP qui peuvent joindre l’interface d’administration HTTP/HTTPS ;
  • créer une politique locale pour restreindre l’accès uniquement au groupe prédéfini sur l’interface de gestion.

Se référer au bulletin de sécurité de l’éditeur pour l’obtention des détails sur les mesures de contournement.

  • effectuer une recherche de compromission au niveau de l’équipement ;

    Note : ces indicateurs n’ont pas été qualifiés par le CERT-FR.
  • rechercher toutes traces de latéralisation sur le reste du système d’information, notamment :

    • en cherchant les connexions ou tentatives de connexion vers Internet depuis l’équipement ;
    • puis en cherchant ces adresses IP de destination pour vérifier si d’autres machines ont tenté une connexion.
  • en cas de compromission détectée :

    • signaler l’événement auprès du CERT-FR en mettant en copie vos éventuels CSIRTs métier et consulter les bons réflexes en cas d’intrusion sur votre système d’information [1] ;
    • isoler l’équipement du réseau et sauvegarder les journaux liés à l’équipement.

Auteur :

Aller à la source

artia13

Depuis 1998, je poursuis une introspection constante qui m’a conduit à analyser les mécanismes de l’information, de la manipulation et du pouvoir symbolique. Mon engagement est clair : défendre la vérité, outiller les citoyens, et sécuriser les espaces numériques. Spécialiste en analyse des médias, en enquêtes sensibles et en cybersécurité, je mets mes compétences au service de projets éducatifs et sociaux, via l’association Artia13. On me décrit comme quelqu’un de méthodique, engagé, intuitif et lucide. Je crois profondément qu’une société informée est une société plus libre.

artia13 has 4424 posts and counting. See all posts by artia13

Vous Aimerez Peut-être Aussi

[MàJ] Vulnérabilité dans les produits Fortinet

Mozilla Firefox – CVE-2025-4919

artia13
Spotify fait fermer une extension de téléchargement pirate

Spotify fait fermer une extension de téléchargement pirate

artia13
Panne mondiale de CrowdStrike : Les hackers en profitent ! #cybersecurity #entreprise #cyberattack

Panne mondiale de CrowdStrike : Les hackers en profitent ! #cybersecurity #entreprise #cyberattack

artia13