Multiples vulnérabilités affectant les produits Fortinet
FortiPAM, FortiNAC, FortiProxy, FortiOS, FortiAuthenticator, FortiWeb, FortiWebManager et FortiSwitchManager sont des solutions de sécurité développées par Fortinet. Elles couvrent divers aspects de la sécurité informatique, notamment la gestion des accès privilégiés, la sécurisation du réseau, la protection des applications web et cloud, l’authentification multi-facteur et l’automatisation de la réponse aux incidents, offrant ainsi une sécurité complète et intégrée pour les entreprises.
Ces produits de Fortinet présentent plusieurs vulnérabilités libellées comme suit :
CVE-2023-46714 : affectant FortiOS, elle permettrait à un acteur malveillant ayant un accès au panneau d’administration d’exécuter du code arbitraire via des paquets HTTP et HTTPS. Cette vulnérabilité est classée medium et son score de sévérité est 6.8.
CVE-2024-23664 : affectant FortiAuthenticator, elle permettrait à un acteur malveillant de rediriger les utilisateurs vers des sites arbitraires. Cette vulnérabilité est classée medium et son score de sévérité est 5.8.
CVE-2024-3107 : affectant FortiWeb, elle permettrait à un acteur malveillant authentifié d’accéder aux hashs des mots de passe d’administrateurs via des commandes ou des requêtes HTTPS malveillantes. Cette vulnérabilité est classée élevée et son score de sévérité est 7.5.
CVE-2024-23667, CVE-2024-23668, CVE-2024-23669 et CVE-2024-23670 : affectant FortiWebManager, elles permettraient à un acteur malveillant disposant de privilèges de lecture seule d’exécuter des actions non autorisées via des requêtes HTTP ou des commandes malveillantes. Ces vulnérabilités sont classées critiques avec un score de sévérité de 8.6.
CVE-2024-31488 : affectant FortiNAC, elle permettrait à un attaquant authentifié d’effectuer des injections XSS stockées via des requêtes HTTP malveillantes. Cette vulnérabilité est classée médium et son score de sévérité est 6.1.
CVE-2023-45586 : affectant FortiOS et FortiProxy, elle permettrait à un utilisateur VPN authentifié d’envoyer des paquets usurpant l’adresse IP d’un autre utilisateur via des paquets réseaux malveillants. Cette vulnérabilité est classée faible avec un score de sévérité de 4.7.
CVE-2023-36640 et CVE-2023-45583 : affectant FortiOS, FortiProxy, FortiPAM et FortiSwitchManager, elles permettraient à un acteur malveillant authentifié d’exécuter du code arbitraire via des requêtes et des commandes malveillantes. Cette vulnérabilité est classée médium avec un score de sévérité de 6.5.
RISQUES DE SÉCURITÉ
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Exécution de code arbitraire
- Injection de code arbitraire
SYSTÈMES AFFECTÉS
FortiAuthenticator
- FortiAuthenticator 6.4.x toutes versions
- FortiAuthenticator 6.5.x versions antérieures à 6.5.4
- FortiAuthenticator 6.6.x versions antérieures à 6.6.1
FortiNAC
- FortiNAC 7.2.x versions antérieures à 7.2.4
- FortiNAC 8.7.x toutes versions
- FortiNAC 8.8.x toutes versions
- FortiNAC 9.1.x toutes versions
- FortiNAC 9.2.x toutes versions
- FortiNAC 9.4.x versions antérieures à 9.4.5
FortiOS
- FortiOS 6.0.x toutes versions
- FortiOS 6.2.x toutes versions
- FortiOS 6.4.x toutes versions
- FortiOS 7.0 toutes versions pour les vulnérabilités CVE-2023-36640 et CVE-2023-45583
- FortiOS 7.0.x versions antérieures à 7.0.13
- FortiOS 7.2.x versions antérieures à 7.2.8
- FortiOS 7.4.x versions antérieures à 7.4.2
FortiPAM
- FortiPAM 1.0.x toutes versions
- FortiPAM 1.1.x versions antérieures à 1.1.1
FortiProxy
- FortiProxy 1.0.x toutes versions
- FortiProxy 1.1.x toutes versions
- FortiProxy 1.2.x toutes versions
- FortiProxy 2.0.x toutes versions
- FortiProxy 7.0.x versions antérieures à 7.0.14
- FortiProxy 7.2.x versions antérieures à 7.2.8
- FortiProxy 7.4.x versions antérieures à 7.4.2
FortiSwitchManager
- FortiSwitchManager 7.0.x versions antérieures à 7.0.3
- FortiSwitchManager 7.2.x versions antérieures à 7.2.3
FortiWeb
- FortiWeb 6.3.x toutes versions
- FortiWeb 6.4.x toutes versions
- FortiWeb 7.0.x toutes versions pour la vulnérabilité CVE-2024-23665
- FortiWeb 7.0.x versions antérieures à 7.0.9
- FortiWeb 7.2.x versions antérieures à 7.2.8
- FortiWeb 7.4.x versions antérieures à 7.4.3
FortiWebManager
- FortiWebManager 6.0.x toutes versions
- FortiWebManager 6.2.x versions antérieures à 6.2.5
- FortiWebManager 6.3.x versions antérieures à 6.3.1
- FortiWebManager 7.0.x versions antérieures à 7.0.5
- FortiWebManager 7.2.x versions antérieures à 7.2.1
MESURES À PRENDRE
- Appliquer les mises à jour disponibles sur le site de l’éditeur
Source : bjCSIRT