Risque(s)

Exécution de code arbitraire à distance

Systèmes affectés

FortiOS versions 7.4.x antérieures à 7.4.3
FortiOS versions 7.2.x antérieures à 7.2.7
FortiOS versions 7.0.x antérieures à 7.0.14
FortiOS versions 6.4.x antérieures à 6.4.15
FortiOS versions 6.2.x antérieures à 6.2.16
FortiOS 6.0 toutes versions

Résumé

Le 8 février 2024, Fortinet a publié l’avis de sécurité concernant la vulnérabilité critique CVE-2024-21762 affectant le VPN SSL de FortiOS. Cette vulnérabilité permet à un attaquant non authentifié de provoquer une exécution de code arbitraire à distance.

Fortinet indique que cette vulnérabilité serait potentiellement exploitée. Le CERT-FR recommande donc fortement d’appliquer le correctif dans les plus brefs délais.

Contournement provisoire

L’éditeur recommande de désactiver le VPN SSL si l’application du correctif n’est pas possible. Fortinet indique en effet que la désactivation de l’interface web n’est pas suffisante.