Vulnérabilité de contournement d’authentification affectant FortiOS et FortiProxy

Libellé CVE-2022-35843, une vulnérabilité a été identifié et consiste à un contournement d’authentification dans le composant de connexion « FortiOS SSH » permettant à un attaquant distant et non authentifié de se connecter à l’appareil via l’envoi d’une réponse « Access-Challenge » spécialement conçue à partir du serveur Radius.

IMPACT

• Atteinte à la confidentialité


• Atteinte à la disponibilité


• Atteinte à l’intégrité des données

SYSTEMES AFFECTÉS 

• FortiOS version 7.2.0 à 7.2.1 


• FortiOS versions 7.0.0 à 7.0.7 


• FortiOS versions 6.4.0 à 6.4.9 


• FortiOS version 6.2 


• FortiOS version 6.0 


• FortiProxy version 7.0.0 à 7.0.6 


• FortiProxy version 2.0.0 à 2.0.10 


• FortiProxy version 1.2.0

MESURES À PRENDRE

• Mettre à jour FortiOS aux versions 2.2, 7.0.8 et 6.4.10 


• Mettre à jour FortiProxy aux versions 7.0.7 et 2.0.11

Source : FortiGuard