Fortinet a publié des correctifs de sécurité pour une vulnérabilité critique dans ses appareils FortiSwitch qui peuvent être exploités pour modifier les mots de passe des administrateurs à distance.
La société affirme que Daniel Rozeboom de l’équipe de développement de l’interface utilisateur Web de FortiSwitch a découvert la vulnérabilité (CVE-2024-48887) en interne.
Les attaquants non authentifiés peuvent exploiter cette faille de sécurité non vérifiée de changement de mot de passe de l’interface graphique FortiSwitch (notée avec un score de gravité de 9,8/10) dans des attaques de faible complexité qui ne nécessitent aucune interaction de l’utilisateur.
Fortinet indique que les auteurs de menaces peuvent modifier les informations d’identification à l’aide d’une requête spécialement conçue envoyée via le point de terminaison set_password.
« Une vulnérabilité de changement de mot de passe non vérifiée [CWE-620] dans l’interface graphique de FortiSwitch peut permettre à un attaquant distant non authentifié de modifier les mots de passe d’administrateur via une requête spécialement conçue », explique Fortinet.
CVE-2024-48887 affecte plusieurs versions de FortiSwitch, à partir de FortiSwitch 6.4.0 et jusqu’à FortiSwitch 7.6.0, et a été résolu dans les versions de FortiSwitch 6.4.15, 7.0.11, 7.2.9, 7.4.5 et 7.6.1.
| Version | Affected | Patch |
|---|---|---|
| FortiSwitch 7.6 | 7.6.0 | Upgrade to 7.6.1 or above |
| FortiSwitch 7.4 | 7.4.0 through 7.4.4 | Upgrade to 7.4.5 or above |
| FortiSwitch 7.2 | 7.2.0 through 7.2.8 | Upgrade to 7.2.9 or above |
| FortiSwitch 7.0 | 7.0.0 through 7.0.10 | Upgrade to 7.0.11 or above |
| FortiSwitch 6.4 | 6.4.0 through 6.4.14 | Upgrade to 6.4.15 or above |
Pour ceux qui ne peuvent pas appliquer immédiatement les mises à jour de sécurité publiées mardi, Fortinet fournit également une solution de contournement temporaire leur demandant de désactiver « l’accès HTTP/HTTPS » à partir des interfaces d’administration et de restreindre l’accès aux périphériques FortiSwitch vulnérables aux hôtes de confiance.
Mardi, la société a également corrigé une injection de commande de système d’exploitation (CVE-2024-54024) dans FortiIsolator et des failles affectant FortiOS, FortiProxy, FortiManager, FortiAnalyzer, FortiVoice et FortiWeb (CVE-2024-26013 et CVE-2024-50565) que des attaquants non authentifiés peuvent exploiter dans des attaques de l’homme du milieu.
Les vulnérabilités de Fortinet sont souvent ciblées dans la nature, certaines exploitées comme zéro jour bien avant que l’entreprise n’émette des correctifs de sécurité.
Par exemple, en décembre, des pirates chinois ont utilisé une boîte à outils de post-exploitation DeepData pour voler des informations d’identification à l’aide d’un jour zéro (sans identifiant CVE) dans le client VPN WINDOWS FortiClient de Fortinet.
Une autre faille Fortinet FortiManager, baptisée « FortiJump » et suivie sous le nom de CVE-2024-47575, a été exploitée comme un jour zéro pour violer plus de 50 serveurs depuis juin 2024.
Plus récemment, Fortinet a révélé deux autres vulnérabilités (CVE-2024-55591 et CVE-2025-24472) en janvier et février, également exploitées comme zéro jour dans les attaques de ransomware.