Sélection de la langue

Government of Canada / Gouvernement du Canada

Recherche

Alerte - Vulnérabilités touchant Fortinet FortiOS

De : Centre canadien pour la cybersécurité

Numéro : AL24-003
Date : 9 février 2024

Auditoire

La présente alerte s’adresse aux professionnelles et professionnels et aux gestionnaires des TI.

Objet

Une alerte a pour objet de prévenir les destinataires que des cybermenaces ont été relevées récemment et que celles-ci pourraient toucher les biens d’information électronique. Elle vise également à leur fournir des conseils supplémentaires en matière de détection et d’atténuation. Le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) est en mesure d’offrir, aux destinataires qui en font la demande, une assistance complémentaire concernant la teneur de la présente alerte.

Détails

Le 8 février 2024, le Centre pour la cybersécurité a été informé de vulnérabilités touchant plusieurs versions de Fortinet FortiOS. En réponse à cette information, le Centre pour la cybersécurité a publié le bulletin AV24 074 le 9 février 2024Note de bas de page 1.

Fortinet signale que la CVE-2024-21762 est une vulnérabilité d’écriture hors limite dans le service SSL-VPN qui peut permettre à une auteure ou à un auteur de menace distant non authentifié d’exécuter du code ou des commandes arbitraires au moyen de requêtes HTTP conçues à cet effetote de bas de page 2. Fortinet a indiqué qu’il se peut que cette vulnérabilité ait été exploitée dans la nature.

Une deuxième vulnérabilité considérable (CVE-2024-23113) a été signalée. Il s’agit d’un bogue de chaîne de format dans le protocole FortiGate-FortiManager (fgfmd) de FortiOS. Cette vulnérabilité peut permettre à une auteure ou à un auteur de menace distant non authentifié d’exécuter du code ou des commandes arbitraires au moyen de requêtes conçues à cet effetNote de bas de page 3. Fortinet n’a pas indiqué que cette vulnérabilité avait été exploitée.

Le 9 février 2024, la Cybersecurity and Infrastructure Security Agency (CISA) a mis à jour son catalogue des vulnérabilités exploitées connues (KEV pour Known Exploited Vulnerabilities) en réponse à la vulnérabilité CVE-2024-21762 d’écriture hors limite touchant Fortinet FortiOSote de bas de page 4.

Mesures Recommandées

À titre de solution de contournement temporaire pour la vulnérabilité CVE-2024-21762, Fortinet recommande de désactiver le service SSL-VPN jusqu’à ce que le correctif soit prêtNote de bas de page 2.

En ce qui a trait à la vulnérabilité CVE-2024-23113, Fortinet recommande également aux organisations d’évaluer si elles ont vraiment besoin d’exposer le démon fgfm (port 541) à Internet pour les connexions entrantes, jusqu’à ce que le correctif soit diffuséNote de bas de page 3.

Par ailleurs, le Centre pour la cybersécurité recommande fortement aux organisations de dresser la liste des appareils Fortinet qui ont besoin d’être mis à jour afin de remédier à ces vulnérabilités.

Version:

  • FortiOS 7.6 - Touchée : Non touchée - Solution: Sans objet
  • FortiOS 7.4 - Touchée : 7.4.0 à 7.4.2 - Solution: Mettre à niveau à 7.4.3 ou ultérieure
  • FortiOS 7.2 - Touchée : 7.2.0 à 7.2.6 - Solution: Mettre à niveau à 7.2.7 ou ultérieure
  • FortiOS 7.0 - Touchée : 7.0.0 à 7.0.13 - Solution: Mettre à niveau à 7.0.14 ou ultérieure
  • FortiOS 6.4 - Touchée : 6.4.0 à 6.4.14 - Solution: Mettre à niveau à 6.4.15 ou ultérieure
  • FortiOS 6.2 - Touchée : 6.2.0 à 6.2.15 - Solution: Mettre à niveau à 6.2.16 ou ultérieure
  • FortiOS 6.0 - Touchée : 6.0 toutes les versions - Solution: Migrer vers une version corrigée

Les organisations devraient consulter et mettre en œuvre les 10 mesures de sécurité des TINote de bas de page 5 du Centre pour la cybersécurité, en particulier celles liées aux sujets suivants :

  • l’intégration, la surveillance et la défense des passerelles Internet;
  • l’application de correctifs aux applications et aux systèmes d’exploitation;
  • l’isolement des applications Web.

Si les destinataires relèvent des activités semblables aux informations fournies dans la présente alerte, ils sont invités à le signaler par l’entremise de Mon cyberportail ou par courriel à contact@cyber.gc.ca.

Rapports de Partenaires

ACSC - Critical Vulnerability in FortiOS  (en anglais seulement)

NCSC-NZ - Cyber Security Alert: CVEs affecting FortiOS SSL VPN (en anglais seulement)

Signaler un problème ou une erreur sur cette page

Ce site est protégé par reCAPTCHA et les Règles de confidentialité et Conditions de service de Google s'appliquent.

Veuillez sélectionner toutes les cases qui s'appliquent :

Merci de votre aide!

Vous ne recevrez pas de réponse. Pour toute question, contactez-nous.

Date de modification :