La vulnérabilité CVE-2024-55591 est une faille critique d’escalade de privilèges affectant les versions de FortiOS 7.0.0 à 7.0.16 et FortiProxy 7.0.0 à 7.0.19 ainsi que 7.2.0 à 7.2.12. Elle permet à un attaquant distant non authentifié d’obtenir des privilèges de super-administrateur en envoyant des requêtes spécialement conçues au module WebSocket Node.js.
Cette vulnérabilité a été exploitée activement depuis novembre 2024, affectant potentiellement des dizaines de milliers d’appareils exposés à Internet. Les attaquants ont pu modifier les configurations des pare-feux, créer de nouveaux comptes administratifs et accéder à des informations sensibles.
Fortinet a publié des correctifs pour les versions vulnérables :
- FortiOS :
- Mettez à jour vers la version 7.0.17 ou supérieure.
- FortiProxy :
- Mettez à jour vers la version 7.0.20 ou supérieure.
- Pour les versions 7.2.0 à 7.2.12, mettez à jour vers la version 7.2.13 ou supérieure.
Il est recommandé d’appliquer ces mises à jour dès que possible pour atténuer les risques associés à cette vulnérabilité.
Ajout de la détection par ONYPHE
Cette détection a été ajoutée le 14 février 2025 dans notre moteur.
Méthode de détection
Actuellement, nous détectons uniquement la vulnérabilité CVE-2024-55591 par une vérification fiable « check-based ». Si nous constatons que l’appareil est vulnérable, nous le signalons également comme vulnérable à la CVE-2025-24472 car les deux vulnérabilités ont été corrigées avec le même patch. Cependant, nous ne disposons d’aucun moyen direct d’identifier la vulnérabilité CVE-2025-24472.
Ainsi, si nous considérons qu’un appareil est vulnérable à la CVE-2024-55591, nous le considérons également vulnérable à la CVE-2025-24472.
En revanche, si nous considérons que l’appareil n’est PAS vulnérable à la CVE-2024-55591, nous n’avons aucun moyen d’affirmer l’existence (ou l’absence) de la CVE-2025-24472 et le statut de cette dernière est inconnu.
Ainsi, si votre appareil a été compromis, mais qu’ONYPHE indique qu’il n’est pas vulnérable à la CVE-2024-55591, cela signifie qu’il a peut-être été compromis par la CVE-2025-24472 car les deux vulnérabilités sont activement exploitées.
En résumé, lorsqu’ONYPHE indique qu’un appareil est vulnérable à la CVE-2024-55591, cela signifie qu’il est vulnérable aux deux vulnérabilités. Lorsqu’ONYPHE indique que vous n’êtes pas vulnérable à la CVE-2024-55591, cela signifie qu’ONYPHE ignore si vous êtes vulnérable à la CVE-2025-24472 et que le statut doit être considéré comme « unknownvulnerable » pour la CVE-2025-24472. Aussi, il est possible que le patch pour la CVE-2024-55591 n’est pas été appliqué, mais uniquement un « workaround ». C’est pourquoi il est possible que l’appareil est pu être compromis par la CVE-2025-24472.
