Jeudi, Fortinet a averti de l’existence d’une faille critique affectant les pare-feu FortiGate, les proxys Web FortiProxy et les instances FortiSwitch Manager. CVE-2022-40684 permet de contourner les processus d’authentification et, si elle est désormais corrigée, cette vulnérabilité est activement exploitée.
Fortinet a annoncé jeudi dernier avoir repéré une faille dans certains de ses produits. Sont affectés les pare-feu FortiGate, les proxys Web FortiProxy et les instances FortiSwitch Manager. La sévérité de CVE-2022-40684 est critique, puisqu’elle permet à un attaquant non authentifié, par le biais de requêtes HTTP ou HTTPS, d’effectuer des requêtes sur l’interface d’administration de ces produits.
Dans le détail, il s’agit d’une vulnérabilité de chemin ou de canal alternatif dans FortiOS, FortiProxy et FortiSwitchManage permettant de contourner les mécanismes d’authentification. Dès jeudi, des mises à jour de sécurité ont été publiées pour corriger cette faille. Fortinet a également prévenu directement certains de ses clients en urgence.
En effet, la faille n’est pas seulement critique : elle est aussi activement exploitée, et pas uniquement par des chercheurs en sécurité. « Fortinet est au courant d'une instance où cette vulnérabilité a été exploitée » écrit l’entreprise dans une alerte hier.
Il est donc recommandé d’appliquer les correctifs dès que possible. Le cas échéant, Fortinet propose plusieurs mesures d’atténuation, à savoir la désactivation des requêtes HTTP/HTTPS vers l’interface d’administration ou la limitation des adresses IP pouvant l’atteindre.