L’éditeur Fortinet vient de publier une faille de sécurité de type zero-day critique au niveau du VPN SSL. Cette vulnérabilité permet à un attaquant distant non authentifié d’exécuter du code ou des commandes arbitraires via des requêtes spécifiquement conçues. Une mise à jour des dernières versions est vivement recommandée.
La faille concernée a donné lieu à la publication d’un CVE : CVE-2022-42475
Solutions concernées
FortiOS version 7.2.0 through 7.2.2
FortiOS version 7.0.0 through 7.0.8
FortiOS version 6.4.0 through 6.4.10
FortiOS version 6.2.0 through 6.2.11
FortiOS-6K7K version 7.0.0 through 7.0.7
FortiOS-6K7K version 6.4.0 through 6.4.9
FortiOS-6K7K version 6.2.0 through 6.2.11
FortiOS-6K7K version 6.0.0 through 6.0.14
Correctifs
Please upgrade to FortiOS version 7.2.3 or above
Please upgrade to FortiOS version 7.0.9 or above
Please upgrade to FortiOS version 6.4.11 or above
Please upgrade to FortiOS version 6.2.12 or above
Please upgrade to FortiOS-6K7K version 7.0.8 or above
Please upgrade to FortiOS-6K7K version 6.4.10 or above
Please upgrade to FortiOS-6K7K version 6.2.12 or above
Please upgrade to FortiOS-6K7K version 6.0.15 or above
Source éditeur : https://www.fortiguard.com/psirt/FG-IR-22-398
Bulletin d’alerte du CERT-FR : https://www.cert.ssi.gouv.fr/alerte/CERTFR-2022-ALE-012/