Vulnérabilité critique dans FortiOS et FortiProxy
.png)
Produits concernés
- FortiOS version 7.0.0 jusqu’à 7.0.16
- FortiProxy version 7.2.0 jusqu’à 7.2.12
- FortiProxy version 7.0.0 jusqu’à 7.0.19
Prérequis
- FortiOS ou FortiProxy en version vulnérable
- Avoir accès à l’interface de management en HTTP/HTTPS.
Risques
- Exécution de code arbitraire
- Fuites de données
- Compromission de l’équipement
Résumé
Cette vulnérabilité est un contournement d’authentification affectant FortiOS et FortiProxy. Un attaquant non authentifié peut donc, en envoyant des requêtes spécialement conçues au module Websocket Node.js, obtenir les privilèges super-admin.
Ainsi, un attaquant non authentifié pourrait donc se créer un compte avec des privilèges pour modifier la configuration du pare-feu ou s’octroyer des accès VPN. Il aurait donc par la suite accès au réseau interne de l’entreprise pour poursuivre son attaque. Ce chemin d’attaque a déjà été observé.
La faille est activement exploitée par des groupes d’attaquants et des indicateurs de compromissions sont fournis par Fortinet dans leur bulletin de vulnérabilité. Il semble que cette vulnérabilité soit connue par au moins un groupe d’attaquant depuis au moins novembre 2025, il est donc possible que les équipements soient déjà compromis.
Etant donné le risque associé, nous préconisons de corriger cette vulnérabilité sans plus attendre.
Le risque est d’autant plus grand si vos interfaces d’administration sont exposées sur internet. Login Sécurité vous rappelle que l’exposition d’une interface d’administration sur internet est contraire aux bonnes pratiques.
Solutions
Détection de la compromission :
Afin de vérifier si un équipement est compromis, veuillez vérifier la présence des logs suivants : type='event' subtype='system' level='information' vd='root' logdesc='Object attribute configured' user='admin' ui='jsconsole(127.0.0.1)' action='Add' cfgtid=1411317760 cfgpath='system.admin' cfgobj='vOcep' cfgattr='password[*]accprofile[super_admin]vdom[root]' msg='Add system.admin vOcep'
type='event' subtype='system' level='information' vd='root' logdesc='Admin login successful' sn='1733486785' user='admin' ui='jsconsole' method='jsconsole' srcip=1.1.1.1 dstip=1.1.1.1 action='login' status='success' reason='none' profile='super_admin' msg='Administrator admin logged in successfully from jsconsole'
Dans les logs précédents, les champs sn et cfgid peuvent être différents de ceux remontés. Les adresses IP peuvent être les suivantes :
- 1.1.1.1
- 127.0.0.1
- 2.2.2.2
- 8.8.8.8
- 8.8.4.4
Nom d’utilisateur local ou admin inhabituel :
- Gujhmk
- Ed8x4k
Adresses IP :
- 45.55.158[.]47
- 87.249.138[.]47
- 155.133.4[.]175
- 37.19.196[.]65
- 149.22.94[.]37
Remédiation :
Mettre à jour vers :
- FortiOS version 7.0.17 ou supérieure
- FortiProxy version 7.2.13 ou supérieure
- FortiProxy version 7.0.20 ou supérieure
Mitigations :
Il est possible de désactiver l’interface d’administration http/https
Sinon il est également possible de limiter les adresses IP autorisées à se connecter à l’interface administrativeconfig firewall address
edit 'my_allowed_addresses'
set subnet
end
config firewall addrgrp
edit 'MGMT_IPs'
set member 'my_allowed_addresses'
end
config firewall local-in-policy
edit 1
set intf port1
set srcaddr 'MGMT_IPs'
set dstaddr 'all'
set action accept
set service HTTPS HTTP
set schedule 'always'
set status enable
next
edit 2
set intf 'all'
set srcaddr 'all'
set dstaddr 'all'
set action deny
set service HTTPS HTTP
set schedule 'always'
set status enable
end
Si vous utilisez des ports autres que ceux par défaut pour accéder à l’interface :
edit GUI_HTTPS
set tcp-portrange 443
next
edit GUI_HTTP
set tcp-portrange 80
end
Restez informés des dernières menaces !
Recevez les alertes de sécurité critiques et nos conseils pour protéger votre entreprise.
