Talos Cyber Veille

Faille 0 day FortiGate et FortiProxy

 CVE-2023-25610

Centre des opérations de sécurité

Alerte FortiGate-FortiProxy

Une nouvelle faille critique rendue publique ce mardi 7 mars 2023.

Elle concerne un défaut de contrôle de la mémoire dans FortiOS et FortiProxy. Avec des requêtes spécifiques vers l’interface d’administration, un attaquant peut :

  • Provoquer un déni de service,
  • Exécuter du code arbitraire sur le système.
    Voir sur Fortiguard

     Impact

    Prise de contrôle totale des appareils infectés.


    Score CVSS3         : 9.3 CRITIQUE

    La faille est simple à exploiter.

    Versions vulnérables FortiOS :

    Toutes les versions 6.0.X
    Versions comprises entre 6.2.0 et 6.2.12 : incluses
    Versions comprises entre 6.4.0 et 6.4.11 : incluses
    Versions comprises entre 7.0.0 et 7.0.9 : incluses
    Versions comprises entre 7.2.0 et 7.2.3 : incluses


    Versions vulnérables FortiProxy :

    Toutes les versions 1.1.x
    Toutes les versions 1.2.x
    Versions comprises entre 2.0.0 et 2.0.11 : incluses
    Versions comprises entre 7.0.0 et 7.0.8 : incluses
    Versions comprises entre 7.2.0 et 7.2.2 : incluses

    Les équipements Forti référencés dans le bulletin de Fortinet ne sont sensibles qu’aux attaques par DoS et non pas à l’execution de code arbitraire

    Identifier et s’en prémunir

    • Mettre à jour vers la dernière version proposée.
      Passer en :
      FortiOS version 7.4.0 ou supérieur
      FortiOS version 7.2.4 ou supérieur
      FortiOS version 7.0.10 ou supérieur
      FortiOS version 6.4.12 ou supérieur
      FortiOS version 6.2.13 ou supérieur
      FortiProxy version 7.2.3 ou supérieur
      FortiProxy version 7.0.9 ou supérieur
      FortiProxy version 2.0.12 ou supérieur
      FortiOS-6K7K version 7.0.10 ou supérieur
      FortiOS-6K7K version 6.4.12 ou supérieur
      FortiOS-6K7K version 6.2.13 ou supérieur

     Solutions à mettre en place à très court terme :

    • Vérifiez que votre interface de management (HTTP / HTTPS) n'est pas publiée sur internet !
    • Restrindre l’accès à votre interface de management (mettre en place des local-in policy : procédure ici)

    Si la mise à jour est impossible :

    • Acitvez dans la section automation l’envoie d’email en cas de connexion d’un administrateur,
    • Observez vos logs et vérifiez qu’aucun accès non autorisé n’a été effectué.
    • Dans tous les cas mettez en place des règles d’accès conditionnels (local-in policy) pour limiter votre vecteur d’exposition

    Contactez nous sans attendre