nnattalli - stock.adobe.com

VPN-SSL : vulnérabilité critique inédite chez Fortinet

Une entreprise française a vendu la mèche avant l’équipementier sur une vulnérabilité critique inédite, mais exploitée et justifiant de désactiver le service de VPN-SSL s’il n’est pas indispensable, à défaut d’appliquer les mises à jour.

[Mise à jour, le 12/12/2022 @ 17h45] Fortinet vient de reconnaître publiquement l’existence de cette vulnérabilité désormais référencée CVE-2022-42475, en rendant accessible à tous, sa notice d’information FG-IR-22-398.

[Article original, le 12/12/2022 @ 16h] C’est Olympe Cyberdéfense qui a rendu publique l’alerte sur une nouvelle vulnérabilité critique inédite affectant le service VPN-SSL des équipements Fortinet. Selon l’information publiée sur le site de cette entreprise française, filiale de l’entreprise de services numériques (ESN) FrameIP spécialisée dans la supervision de la sécurité, la vulnérabilité affectant les versions 6.2 à 6.2.11, 6.4 à 6.4.10, 7.0 à 7.0.8, et 7.2 à 7.2.2 de FortiOS.

La publication d’Olympe Cyberdéfense suggère que cette vulnérabilité est déjà en cours d’exploitation dans le cadre de cyberattaques : on peut y lire quoi chercher dans les journaux d’activité de son pare-feu pour repérer une tentative d’exploitation. Dès lors, la première recommandation est radicale : « désactivez la fonctionnalité VPN-SSL si elle n’est pas essentielle ».

À l’heure où sont publiées ces lignes, Fortinet n’a pas encore rendu publique la notice d’information relative à cette vulnérabilité. Pour autant, selon nos informations, elle est déjà prête, fait mention d’une exploitation en cours, et circule auprès de certains publics restreints. Mais nous n’avons pas réussi à établir depuis combien de temps.

De nouvelles versions de FortiOS, corrigeant la vulnérabilité sont également prêtes. Et même depuis un petit moment. FortiOS 7.0.9 est disponible depuis 3 semaines environ, de même que la version 7.2.3. Les versions 6.2.12 et 6.4.11 le sont depuis environ 1 mois. Ces versions ont fait suite à celles diffusées pour corriger la déjà très critique vulnérabilité référencée CVE-2022-40684.

Les notes associées à FortiOS 7.2.3 font référence à la CVE-2022-40684. Mais rien au sujet de la vulnérabilité mentionnée par Olympe Cyberdéfense et dont le score de sévérité (CVSS) serait, selon nos informations, de 9.3.

Nous avons demandé des précisions à Fortinet. L’équipementier n’a pas répondu à nos questions à l’heure où sont publiées ces lignes. Nous ne manquerons pas de mettre à jour cet article lorsque ses commentaires nous seront adressés.

Pour approfondir sur Gestion des vulnérabilités et des correctifs (patchs)

Close