Nouvelle vulnérabilité critique dans FortiOS SSL VPN

Fortinet a révélé l’existence d’une faille critique dans son système FortiOS SSL VPN, une vulnérabilité qui pourrait être actuellement exploitée par des attaquants malveillants.

Identifiée sous la référence CVE-2024-21762 avec un score CVSS de 9.6, cette faille permet l’exécution de code et de commandes arbitraires via des requêtes HTTP spécifiquement conçues.

Les versions suivantes de FortiOS sont concernées par cette vulnérabilité, à l’exception de FortiOS 7.6 :

• FortiOS 7.4 (de la version 7.4.0 à la version 7.4.2) : Il est impératif de mettre à jour vers la version 7.4.3 ou ultérieure.
• FortiOS 7.2 (de la version 7.2.0 à la version 7.2.6) : Mettez à jour vers la version 7.2.7 ou ultérieure.
• FortiOS 7.0 (de la version 7.0.0 à la version 7.0.13) : La mise à jour vers la version 7.0.14 ou ultérieure est nécessaire.
• FortiOS 6.4 (de la version 6.4.0 à la version 6.4.14) : Mettez à jour vers la version 6.4.15 ou ultérieure.
• FortiOS 6.2 (de la version 6.2.0 à la version 6.2.15) : La mise à jour vers la version 6.2.16 ou ultérieure est requise.
• FortiOS 6.0 (toutes les versions) : Il est vivement recommandé de migrer vers une version corrigée dès que possible.

Cette annonce survient peu de temps après que Fortinet ait publié des correctifs pour d’autres vulnérabilités affectant FortiSIEM Supervisor, notamment les CVE-2024-23108 et CVE-2024-23109.

La gravité de cette faille dans FortiOS SSL VPN exige une action immédiate de la part des utilisateurs et des administrateurs système. Assurez-vous de mettre à jour vos systèmes le correctif de sécurité étant disponible.

Le bulletin d’alerte du CERT-FR en lien ci-dessous résume les faits et les actions à prendre.

Partager :

• Partager cette page sur Linkedin
• Imprimer