Résumé

[Mise à jour du 28 janvier 2025]Une preuve de concept permettant l'exploitation de cette vulnérabilité est disponible publiquement.

Le 14 janvier 2025, Fortinet a publié un avis de sécurité concernant la vulnérabilité critique CVE-2024-55591 affectant FortiOS et FortiProxy. Elle permet à un attaquant distant non authentifié de contourner le mécanisme d'authentification de l'interface d'administration d'un équipement FortiOS ou FortiProxy et d'obtenir des privilèges super-administrateur via l'envoi de requêtes forgées au module websocket Node.js.

Le CERT-FR rappelle que l'exposition d'une interface d'administration sur Internet est contraire aux bonnes pratiques.Le CERT-FR recommande donc fortement d'appliquer le correctif dans les plus brefs délais.Fortinet indique que cette vulnérabilité est activement exploitée.