Le BSI met en garde contre l'exploitation active d'une vulnérabilité critique dans Fortinet SSL VPN. Le service FortiOS, utilisé sur les pare-feux FortiGate, permet aux attaquants d'exécuter du code ou des commandes malveillants.
Selon le BSI, les entreprises qui utilisent des pare-feu FortiGate devraient corriger leurs appareils dès que possible. La vulnérabilité est déterminée par le fabricant Système commun de notation des vulnérabilités (CVSS) v3.1 classé « critique » avec un score CVSS global de 9.3 sur 10. CVE-2022-42475 a été attribué pour la vulnérabilité. Selon Fortinet PSIRT - Product Security Incident Response Team - il existe une vulnérabilité de dépassement de mémoire tampon basée sur le tas dans le service VPN SSL.
FortiGate Firewalls : utilisation active de la vulnérabilité
Le PSIRT de Fortinet indique que les versions de produit suivantes sont affectées par la vulnérabilité :
- FortiOS-6K7K version 7.0.0 – 7.0.7
- FortiOS-6K7K version 6.4.0 – 6.4.9
- FortiOS-6K7K version 6.2.0 – 6.2.11
- FortiOS-6K7K version 6.0.0 – 6.0.14
- FortiOS version 7.2.0 – 7.2.2
- FortiOS version 7.0.0 – 7.0.8
- FortiOS version 6.4.0 – 6.4.10
- FortiOS version 6.2.0 – 6.2.11
Le fabricant Fortinet a également annoncé qu'un cas d'exploitation réussie de la vulnérabilité avait déjà été observé. Par conséquent, la mise en œuvre immédiate des mesures correctives est recommandée. Fortinet fournit les instructions pour les correctifs déjà adaptés sur son site Web.
- FortiOS version 7.2.3 ou supérieure
- FortiOS version 7.0.9 ou supérieure
- FortiOS version 6.4.11 ou supérieure
- FortiOS version 6.2.12 ou supérieure
- FortiOS-6K7K version 7.0.8 ou supérieure
- FortiOS-6K7K version 6.4.10 ou supérieure
- FortiOS-6K7K version 6.2.12 ou supérieure
- FortiOS-6K7K version 6.0.15 ou supérieure
À propos de l'Office fédéral de la sécurité de l'information (BSI) L'Office fédéral de la sécurité de l'information (BSI) est l'autorité fédérale de cybersécurité et le concepteur de la numérisation sécurisée en Allemagne. L'énoncé de mission : Le BSI, en tant qu'autorité fédérale de cybersécurité, conçoit la sécurité de l'information dans la numérisation par la prévention, la détection et la réponse pour l'État, les entreprises et la société.