Kwetsbaarheid

FortiOS SSL-VPN/FGFM kwetsbaarheid

Deze liveblog bevat informatie over de FortiOS SSL-VPN/FGFM kwetsbaarheid. Zodra we een update hebben voegen we die aan deze blog toe. Meer informatie over mogelijke risico’s en details worden onderaan deze blog geplaatst. Laatste update op 9 februari 2024.

Clip path group@2x

T-Update

Informatie over kwetsbaarheden

Deze liveblog bevat informatie over de FortiOS SSL-VPN/FGFM kwetsbaarheid. Zodra we een update hebben voegen we die aan deze blog toe. Meer informatie over mogelijke risico’s en details worden onderaan deze blog geplaatst. Laatste update op 9 februari 2024.

Update 9 februari 2024

16:00 | Op 8 februari 2024, heeft Fortinet een Advisory gepubliceerd waarin CVE-2024-21762 wordt beschreven. Via deze kwetsbaarheid kan een niet-geauthentiseerde aanvaller op afstand willekeurige code uitvoeren via de FortiOS SSL VPN-interface met behulp van specifiek vervaardigde verzoeken.

In een tweede Advisory, eveneens gepubliceerd op 8 februari, beschrijft Fortinet CVE-2024-23113. Via dit beveiligingslek in de FortiOS FortiGate-to-FortiManager (FGFM) interface kan een niet-geauthentiseerde externe aanvaller ook willekeurige code of opdrachten uitvoeren via speciaal vervaardigde verzoeken. De impact van dit beveiligingslek is naar verwachting minder kritiek, omdat de betreffende interface in de meeste gevallen niet publiek toegankelijk is.

Beide kwetsbaarheden worden reeds in het wild uitgebuit, maar voor geen van de kwetsbaarheden is publieke exploit-code beschikbaar. Beide kwetsbaarheden zijn verholpen in de laatste software-update voor ondersteunde versies van FortiOS. Tevens biedt Fortinet voor beide kwetsbaarheden een workaround.

De FortiOS SSL VPN interface is doorgaans publiek op het internet ontsloten. Daarnaast is een FortiGate firewall vaak een kritiek onderdeel van de IT-infrastructuur. Dit maakt de kwetsbaarheid zeer kritiek en maakt dat deze zo snel mogelijk verholpen moet worden!

Cyberveiligheid op maat

Achtergrond

Op 8 februari 2024, heeft Fortinet een Advisory gepubliceerd waarin CVE-2024-21762 wordt beschreven. Via deze kwetsbaarheid kan een niet-geauthentiseerde aanvaller op afstand willekeurige code uitvoeren via de FortiOS SSL VPN-interface met behulp van specifiek vervaardigde verzoeken. In een tweede Advisory, eveneens gepubliceerd op 8 februari, beschrijft Fortinet CVE-2024-23113. Via dit beveiligingslek in de FortiOS FortiGate-to-FortiManager (FGFM) interface kan een niet-geauthentiseerde externe aanvaller ook willekeurige code of opdrachten uitvoeren via speciaal vervaardigde verzoeken. De impact van dit beveiligingslek is naar verwachting minder kritiek, omdat de betreffende interface in de meeste gevallen niet publiek toegankelijk is. Beide kwetsbaarheden worden reeds in het wild uitgebuit, maar voor geen van de kwetsbaarheden is publieke exploit-code beschikbaar. Beide kwetsbaarheden zijn verholpen in de laatste software-update voor ondersteunde versies van FortiOS. Tevens biedt Fortinet voor beide kwetsbaarheden een workaround. De FortiOS SSL VPN interface is doorgaans publiek op het internet ontsloten. Daarnaast is een FortiGate firewall vaak een kritiek onderdeel van de IT-infrastructuur. Dit maakt de kwetsbaarheid zeer kritiek en maakt dat deze zo snel mogelijk verholpen moet worden!

Risico

Zowel kwetsbaarheid CVE-2024-21762 als CVE-2024-23113 geven een niet-geauthentiseerde aanvaller de mogelijkheid om op afstand willekeurige code uit te voeren. De kwetsbaarheden hebben een CVSSv3-score van 9,8. De CVSS-schaal loopt van 0 tot 10. Een score van 9,8 of hoger is zeldzaam en impliceert een hoog risico op uitbuiting met grote impact. Fortinet geeft aan op de hoogte te zijn van een incident waarbij de kwetsbaarheid is misbruikt. Code of instructies voor het uitbuiten van de kwetsbaarheid zijn nog niet publiek beschikbaar.

Advies

Kwetsbaarheid CVE-2024-21762 in de FortiOS SSL VPN-interface is aanwezig in de volgende versies en kan worden opgelost door te upgraden naar de aangegeven versies:
Versie Geraakte versies Oplossing
FortiOS 7.6 Niet geraakt Niet van toepassing
FortiOS 7.4 7.4.0 tot 7.4.2 Upgrade naar 7.4.3 of hoger
FortiOS 7.2 7.2.0 tot 7.2.6 Upgrade naar 7.2.7 of hoger
FortiOS 7.0 7.0.0 tot 7.0.13 Upgrade naar 7.0.14 of hoger
FortiOS 6.4 6.4.0 tot 6.4.14 Upgrade naar 6.4.15 of hoger
FortiOS 6.2 6.2.0 tot 6.4.15 Upgrade naar 6.2.16 of hoger
FortiOS 6.40 6.0 alle versies Migreer naar een ondersteunde versie

Uitbuiting van kwetsbaarheid CVE-2024-21762 kan worden voorkomen door de SSL VPN-functionaliteit uit te schakelen (het uitschakelen van de webmode is geen correcte oplossing) of door de toegang tot de interface via een IP-filter te beperken.

Kwetsbaarheid CVE-2024-23113 in de FortiOS FortiGate-to-FortiManager interface is aanwezig in de volgende versies en kan worden opgelost door te upgraden naar de aangegeven versies:

VersieGeraakte versiesOplossingFortiOS 7.47.4.0 tot 7.4.2Upgrade naar 7.4.3 of hogerFortiOS 7.27.2.0 tot 7.2.6Upgrade naar 7.2.7 of hogerFortiOS 7.07.0.0 tot 7.0.13Upgrade naar 7.0.14 of hoger

Uitbuiting van kwetsbaarheid CVE-2024-23113 kan ook worden voorkomen door de FGFM-toegang op alle interfaces te verwijderen. Meer details zijn te vinden in het beveiligingsadvies van Fortinet: https://www.fortiguard.com/psirt/FG-IR-24-029

Bronnen

Meer informatie:

Ellipse 6

Schrijf je in voor T-Updates

Ontvang elke woensdag het laatste nieuws over malware of kwetsbaarheden
in je mail

More than 1,000 organisations have already joined us.

Tesorion gebruikt jouw gegevens voor het versturen van de gevraagde informatie. Daarnaast worden je gegevens mogelijk gebruikt voor commerciële opvolging. Je kunt je op elk gewenst moment hiervoor afmelden via de link in de e-mail. Lees voor meer informatie ons privacybeleid.

Ellipse 6