Synthèse

Les chercheurs en sécurité ont récemment détecté une campagne d’exploitation de la vulnérabilité CVE-2024-55591, classée « critique », dans les pare-feu Fortinet, ciblant les interfaces de gestion exposées publiquement de FortiOS et FortiProxy.

Remarque : un Proof of Concept (PoC) pour l’exploitation de CVE-2024-55591 serait disponible en ligne.

Risque

Impact estimé de la vulnérabilité sur la communauté cible : critique (78,97)

Description et impacts potentiels

Les chercheurs en sécurité ont récemment détecté une campagne d’exploitation de la vulnérabilité CVE-2024-55591, classée « critique », dans les pare-feu Fortinet, ciblant les interfaces de gestion exposées publiquement de FortiOS et FortiProxy.

Cette vulnérabilité – avec un score CVSS v3 de 9,6 – de type « Authentication Bypass », pourrait permettre à des acteurs malveillants d’obtenir :

• accès aux appareils administratifs
• possibilité de créer de nouveaux comptes
• Authentification VPN SSL
• accéder et modifier les paramètres de configuration de l’appareil
• Exfiltration des identifiants Active Directory via DCSync

Pour plus d’informations, veuillez consulter le lien vers l’analyse, disponible dans la section Références.

Typologie

Authentication Bypass

Produits et/ou versions concernés

• FortiProxy 7.2.x, version 7.2.12 et antérieures
• FortiProxy 7.0.x, version 7.0.19 et antérieures
• FortiOS 7.0.x, version 7.0.16 et antérieures

Mesures d’atténuation

Conformément aux déclarations du fournisseur, il est recommandé de mettre à jour les produits vulnérables en suivant les instructions du bulletin de sécurité dans la section Références.

De plus, l’importance d’inhiber la possibilité d’accéder aux interfaces de gestion de ces appareils à partir d’Internet est soulignée.

Enfin, il est recommandé d’envisager de vérifier et d’implémenter – sur vos dispositifs de sécurité – les Indicateurs de Compromission (IoC)[1] fournis dans la section « IoC ».

[1] Par définition, tous les indicateurs de compromission ne sont pas malveillants. Ce CSIRT n’a aucune responsabilité quant à la mise en œuvre d’actions proactives (par exemple, la mise sur liste noire d’IoC) liées aux indicateurs fournis. Les informations contenues dans ce document représentent la meilleure compréhension de la menace au moment de sa publication.

Références

https://www.fortiguard.com/psirt/FG-IR-24-535

https://arcticwolf.com/resources/blog/console-chaos-targets-fortinet-fortigate-firewalls/

¹Cette estimation est réalisée en prenant en compte plusieurs paramètres, notamment : CVSS, disponibilité des patch/workaround et PoC, diffusion des logiciels/appareils affectés dans la communauté de référence.