De nombreux produits Fortinet affectés par des vulnérabilités, alerte le CERT-FR
Le CERT-FR a mis en ligne un nouveau bulletin de sécurité qui évoque un ensemble de vulnérabilités dans les produits Fortinet : FortiManager, FortiPortal, FortiADC, FortiTester et FortiWeb.
L'année 2023 commence fort chez Fortinet avec cette série de 4 vulnérabilités, dont voici la liste des CVE : CVE-2022-35845, CVE-2022-39947, CVE-2022-41336, et CVE-2022-45857. Selon la vulnérabilité et le produit affecté, le score CVSS est variable, mais certaines sont des failles critiques.
Par exemple, la vulnérabilité CVE-2022-39947 affecte FortiADC et elle hérite d'un score CVSS v3 de 8,6 sur 10. Il s'agit d'une vulnérabilité découverte par l'équipe interne de Fortinet, ce qui n'est pas le cas de toutes les failles mentionnées dans cet article.
Au sujet de ces vulnérabilités et des actions réalisables par les attaquants, voici ce que précise le CERT-FR : "Elles [les vulnérabilités] permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un contournement de la politique de sécurité et une injection de code indirecte à distance (XSS)."
En ce qui concerne la liste complète des produits affectés, voici :
- FortiManager versions antérieures à 6.2.9, 6.4.8 et 7.0.2
- FortiPortal versions antérieures à 6.0.12
- FortiADC versions 7.x antérieures à 7.0.2 et 6.2.4
- FortiTester versions 7.2.x antérieures à 7.2.0, versions 7.1.x antérieures à 7.1.1, versions 4.x antérieures à 4.2.1 et versions antérieures à 3.9.2
- FortiWeb versions antérieures à 7.0.3
Pour vous protéger, vous devez utiliser l'une des versions mentionnées ci-dessus puisque ce sont les versions antérieures qui sont affectées. Fortinet a mis en ligne les versions patchées, donc vous pouvez mettre à jour votre équipement. Ce n'est pas précisé si ces failles sont exploitées dans le cadre d'attaques, mais la situation pourrait évoluer dans les semaines à venir.
Vous pouvez consulter le bulletin du CERT-FR en cliquant sur le lien ci-dessous. Il référence également les bulletins mis en ligne par Fortinet.
Fin d'année 2022, Fortinet a déjà fait la une de l'actualité à cause d'une méchante faille de sécurité dans le VPN SSL de ses firewalls FortiGate.