CERTFR-2023-ALE-004
Le 12 juin 2023, Fortinet a publié un avis de sécurité concernant la vulnérabilité CVE-2023-27997. Celle-ci permet à un attaquant non authentifié d'exécuter du code arbitraire à distance sur des produits Fortinet qui proposent une fonctionnalité de *VPN SSL*. Dans une communication supplémentaire (cf. section Documentation), Fortinet indique que cette vulnérabilité n'est exploitable que si la fonctionnalité *VPN SSL* est activée. De plus, celle-ci serait activement exploitée dans le cadre d'attaques ciblées. Le CERT-FR a connaissance d'une preuve de concept disponible publiquement. En l'état, le code permet uniquement un déni de service à distance. Le CERT-FR recommande donc d'appliquer le correctif, disponible depuis le 9 juin 2023, dans les meilleurs délais. La communication supplémentaire \[1\] de Fortinet contient également des recommandations utiles concernant la recherche de marqueurs de compromission, le durcissement de l'équipement ainsi que le rappel de bonnes pratiques de sécurité.
Risk Scores
Affected Products
| Vendor | Product | Versions |
|---|---|---|
| Fortinet | FortiOS | 7.2.0, 6.4.0, 6.2.0 |
| Fortinet | FortiOS-6K7K | 7.0.5, 6.0.10, 6.4.6 |
| Fortinet | FortiProxy | 1.2.0, 1.1.0, 7.0.0 |
Timeline
- Oct 2, 2017 CVE Published
- Jun 13, 2023 PoC Published
- Jun 13, 2023 PoC Published
- Jun 13, 2023 PoC Published
- Jun 14, 2023 PoC Published
- Oct 15, 2024 PoC Published
- Nov 20, 2024 PoC Published
- Dec 24, 2024 PoC Published
- Feb 23, 2025 PoC Published
- Apr 11, 2025 PoC Published
- Apr 12, 2025 PoC Published
- Apr 13, 2025 PoC Published