Talos Cyber Veille

Faille 0 day FortiGate FortiProxy – CVE-2022-40684

La suite Talos



La sécurité de nos clients est une priorité.

L’ensemble des outils de la suite Talos ne sont pas impactés par les Failles 0 day FortiGate FortiProxy – CVE-2022-40684

Centre des opérations de sécurité

Qu’est ce que c’est ?


Les hackers exploitent cette faille zero-day de Fortinet qui permet de bypasser l’authentification sur l’interface d’administration du pare-feu ou du proxy.

Un attaquant peut ainsi prendre le contrôle total de votre équipement de sécurité.

 Pour être exploitée, la faille nécessite un accès à l’interface d’administration. (Par exemple en interne ou sur le web si elle est publiée sur votre IP pulbique)
Informations du bulletin CBS-221006-1 : 
Description: A vulnerability is impacting different firmware versions of FortiGate and FortiProxy products. An authentication bypass using an alternate path or channel [CWE-88] in FortiOS and FortiProxy may allow an unauthenticated attacker to perform operations on the administrative interface via specially crafted HTTP or HTTPS requests. *** This is a critical vulnerability and should be dealt with the utmost urgency ***

La CVE a été marquée comme « réservée »

 Impact


Prise de contrôle totale des appareils infectés.


Score CVSS
: CRITIQUE

La faille est extrêmement simple à exploiter.

Versions vulnérables : 
FortiOS: De 7.0.0 à 7.0.6 et de 7.2.0 à 7.2.1
FortiProxy: de 7.0.0 à 7.0.6 et 7.2.0

Identifier et s’en prémunir


Fortinet publie en ce moment des mises à jour.

Solutions à mettre en place à très court terme :

  • Mettez à jour vos équipements : 
    FortiGate: upgrade to FortiOS version 7.0.7 or 7.2.2
    FortiProxy: upgrade to FortiProxy version 7.0.7 or 7.2.1

 

 Si la mise à jour n’est pas possible :

  • Ne publiez pas votre interface de management sur internet.
  • Observez vos logs et vérifiez qu’aucun accès non autorisé n’a été effectué.
  • Mettez en place des règles d’accès conditionnels :
# Define firewall address(es) with the required subnets and IP addresses
config firewall address
  edit "my_allowed_addresses"
    set subnet
  next
end
#  Create a firewall group with this/these address(es)
config firewall addrgrp
  edit "MGMT_IPs"
    set member "my_allowed_addresses"
  next
end
# Apply the group to a local-in-policy to restrict access only to
the predefined group on the management interface (here port1)
config firewall local-in-policy   edit 1    set intf port1     set srcaddr "MGMT_IPs"     set dstaddr "all"     set action accept     set service HTTPS HTTP     set schedule "always"     set status enable   next   edit 2     set intf "all"     set srcaddr "all"     set dstaddr "all"     set action deny     set service HTTPS HTTP     set schedule "always”     set status enable     next end

 Olympe Cyberdéfense et le Groupe FrameIP peuvent vous soutenir et vous accompagner dans ces démarches. N’hésitez pas à nous contacter.