Date de la divulgation (source) : 14 janvier 2025
Date de déclaration d'exploitation active (source) : 14 janvier 2025
CVE-2024-55591 est une vulnérabilité de contournement d'authentification affectant FortiOS versions 7.0.0 à 7.0.16 et FortiProxy versions 7.0.0 à 7.0.19 et 7.2.0 à 7.2.12 avec un score CVSS de 9.8.
Cette faille permet à des attaquants non authentifiés d'exploiter la fonction Node.js websocket par le biais de requêtes spécialement conçues, ce qui leur confère potentiellement des privilèges de super-administrateur sur les systèmes concernés.
Cette vulnérabilité est connue pour être activement exploitée, avec de nombreux rapports d'attaquants ciblant les dispositifs Fortinet dont les interfaces de gestion sont exposées à l'internet public. Arctic Wolf a identifié des activités d'exploitation antérieures à la divulgation de cette vulnérabilité, y compris l'observation de connexions administratives non autorisées, la création de comptes et des changements de configuration remontant à la mi-novembre 2024. Il a été déterminé par la suite que cette activité était liée à cette vulnérabilité.
En outre, cette vulnérabilité a été ajoutée à la liste des vulnérabilités exploitées connues de la CISA le 14 janvier 2025, ce qui souligne l'urgence pour les organisations de s'attaquer à cette menace.
Il est recommandé d'éviter, dans la mesure du possible, d'exposer publiquement les interfaces d'administration des périphériques réseau ou de les renforcer si elles doivent être accessibles au public.
| Champ d'application |
Détails |
| CVE-ID |
CVE-2024-55591 - CVSS 9.8 (critique) - attribué par Fortinet Inc. |
| Description de la vulnérabilité |
Une vulnérabilité [CWE-288] affectant FortiOS et FortiProxy peut permettre à un attaquant distant d'obtenir des privilèges de super-administrateur via des requêtes élaborées vers le module websocket Node.js. |
| Date de la divulgation |
14 janvier 2025 |
| Actifs touchés |
Module Node.js websocket dans Fortinet FortiOS et FortiProxy |
| Versions de logiciels vulnérables |
- Fortinet FortiOS 7.0.0 à 7.0.16
- Fortinet FortiProxy 7.2.0 à 7.2.12
- Fortinet FortiProxy 7.0.0 à 7.0.19
|
| PoC disponible ? |
Bien qu'il ne s'agisse pas d'un exploit officiel, WatchTowr Labs a publié un script python sur github qui détecte si un hôte est vulnérable à l'exploit (le mécanisme de détection ne prend pas en charge FortiProxy). |
| Statut d'exploitation |
Cette vulnérabilité a été ajoutée à CISA KEV le 14 janvier 2025 |
| Statut du patch |
Les correctifs suivants sont disponibles avec des instructions d'installation dans la base de données de Fortinet. Avis de sécurité:
- Fortinet FortiOS 7.0.0 à 7.0.16 (corrigé dans 7.0.17 ou supérieur)
- Fortinet FortiProxy 7.2.0 à 7.2.12 (corrigé dans la version 7.2.13 ou supérieure)
- Fortinet FortiProxy 7.0.0 à 7.0.19 (corrigé dans la version 7.0.20 ou supérieure)
|
Censys Perspective
Au moment de la rédaction du présent document, Censys a observé 51 instances FortiProxy exposées et 3,445,758 appareils exposés fonctionnant sous FortiOS. Certaines de ces instances se chevauchent, mais nous voyons un total de 3,445,797 appareils.
16% d'entre elles sont géolocalisées aux États-Unis. Il convient de noter que toutes les instances observées ne sont pas nécessairement vulnérables, car nous ne disposons pas toujours de versions spécifiques.
Carte des instances FortiOS et FortiProxy exposées :
Censys Requête de recherche :
services.software: (vendor="Fortinet" and (product="FortiOS" or product="FortiProxy")) and not labels: {honeypot, tarpit}
Censys Requête ASM :
host.services.software: (vendor="Fortinet" and (product="FortiOS" or product="FortiProxy")) or web_entity.instances.software: (vendor="Fortinet" and (product="FortiOS" or product="FortiProxy")) and not labels: {honeypot, tarpit}
Références
