Blog > Vulnérabilités critiques

Vulnérabilité de sécurité critique dans FortiManager (score de 9.8) - CVE-2024-47575

Une vulnérabilité de sécurité critique (score de 9.8 sur 10) de type zero-day vient d’être identifiée dans FortiManager, la plate-forme de gestion centralisée de Fortinet pour les dispositifs FortiGate.

Cette faille, de type RCE (Remote Code Execution ou exécution de code à distance), présente le risque qu’un individu malveillant puisse exécuter du code arbitraire à distance sur une machine, sans nécessiter d’authentification. Pour ceux qui veulent en savoir plus sur les vulnérabilités de type RCE, vous pouvez consulter cet article de blog.

 

Exploitation observée

 

Nous surveillons de près l’évolution de la situation.  Les toutes premières exploitations de la vulnérabilité zero-day remontent à juin 2024. Les seuls cas d’exploitations actives de la vulnérabilité impliquent un nouveau groupe cybercriminel nommé UNC5820

 

Systèmes affectés 

  • FortiManager Cloud 6.4 (toutes les versions) 

  • FortiManager 7.6.0

  • FortiManager 7.4.0 à 7.4.4

  • FortiManager 7.2.0 à 7.2.7

  • FortiManager 7.0.0 à 7.0.12

  • FortiManager 6.4.0 à 6.4.14

  • FortiManager 6.2.0 à 6.2.12

  • FortiManager Cloud 7.4.1 à 7.4.4

  • FortiManager Cloud 7.2.1 à 7.2.7

  • FortiManager Cloud 7.0.1 à 7.0.12

Les anciens modèles de FortiAnalyzer, notamment 1000E, 1000F, 2000E, 3000E, 3000F, 3000G, 3500E, 3500F, 3500G, 3700F, 3700G et 3900E, sont également concernés par cette vulnérabilité si FortiManager est activée. 

 

Indicateurs de compromission (IOC)

Les adresses IP suivantes (IOC) ont été impliquées dans des tentatives d’exploitation de cette vulnérabilité. 

  • 45.32.41.202

  • 104.238.141.143

  • 158.247.199.37

  • 45.32.63.2

  • 195.85.114.78

 

Actions urgentes recommandées

1 - veuillez migrer vers les versions FortiManager  suivantes:

  • FortiManager 7.6 : migrer vers 7.6.1 ou une plus récente version

  • FortiManager 7.4 : migrer vers 7.4.5 ou une plus récente version

  • FortiManager 7.2 : migrer vers 7.2.8 ou une plus récente version

  • FortiManager 7.0 : migrer vers 7.0.13 ou une plus récente version

  • FortiManager 6.4 : migrer vers 6.4.15 ou une plus récente version

  • FortiManager Cloud 7.4 : migrer vers Cloud 7.4.5 ou une plus récente version

  • FortiManager Cloud 7.2 : migrer vers Cloud 7.2.8 ou une plus récente version

  • FortiManager Cloud 7.0 ; migrer vers Cloud 7.0.13 ou une plus récente version

 

  2 - Bloquer les IOC associées à l’exploitation de cette vulnérabilité

 

  3 - En plus de ces recommandations, Streamscan vous suggère fortement de mettre en place les mesures suivantes pour encadrer l’accès à tous vos dispositifs de sécurité, tel que les coupe-feu:

  • Mettre en place un contrôle d’accès strict en indiquant explicitement toutes vos adresses IP qui ont le droit d’accéder à ces équipements. L’accès sera refusé pour tout autre IP.

 

Que fait Streamscan pour vous protéger

Si vous êtes partenaire de Streamscan :

  • Nous avons mis en place une cellule de crise pour suivre l’évolution de cette vulnérabilité critique. Nous appliquerons les mesures de réponse appropriées.

  • Toutes les adresses IP (IOC) cités ci-dessus font deja parti des systèmes suspects surveillées par notre technologie CDS. 

  • Notre équipe de surveillance de la sécurité DRG/MDR maintient sa vigilance lors de la surveillance de votre réseau.