Zoeken

  1. Netherlands
  2. Insights
  3. Nieuws
  4. Dreigingsniveau: 4/5 kwetsbaarheden in FortiOS

Dreigingsniveau: 4/5 kwetsbaarheden in FortiOS

Share

Kritieke kwetsbaarheden CVE-2024-21762 en CVE-2024-23113 in FortiOS misbruikt

Eerste waarschuwing op : 2024-02-09 09:15:09

1.1 Samenvatting

Op 7 februari 2024 ontvingen geselecteerde Fortinet-partners waaronder Orange Cyberdefense een waarschuwing over 2 nieuwe kritieke kwetsbaarheden die invloed hebben op FortiOS en in het bijzonder SSL-VPN. De eerste, CVE-2024-21762(link voor onze klanten), heeft een CVSS-score van 9,6 uit 10 en stelt een niet-geauthenticeerde aanvaller op afstand in staat om opdrachten uit te voeren met behulp van speciaal ontworpen verzoeken. De leverancier vermoedt helaas dat dit lek is misbruikt. De meeste versies zijn getroffen en tot nu toe bestaat er geen workaround.

Fortinet heeft ook een andere kritieke kwetsbaarheid gepatcht, met het nummer CVE-2024-23113(link voor onze klanten), met een score van 9,8. Dit format-string probleem in de FGFM daemon werd intern door de leverancier gevonden. Een beperkter aantal versies (alleen versies 7.0, 7.2 en 7.4) zijn getroffen.

Ter herinnering, FortiOS SSL-VPN is een VPN-oplossing die wereldwijd veel wordt gebruikt in verschillende sectoren en organisaties. In de afgelopen maanden zijn eerdere kritieke kwetsbaarheden in ditzelfde product misbruikt door Chinese door de staat gesponsorde bedreigingsactoren, waaronder CVE-2022-42475, met name gebruikt in de recente cyberspionage-aanval tegen het Nederlandse Ministerie van Defensie.

1.2 Wat je te horen krijgt

FortiOS SSL-VPN's kritieke Out-of-bounds Write kwetsbaarheid misbruikt in het wild.

1.3 Wat dit betekent

Fortinet heeft zojuist een waarschuwing gedeeld aan een aantal van zijn klanten, waaronder Orange Cyberdefense, waarin ze worden gewaarschuwd voor een nieuw Out-of-bounds Write lek in FortiOS SSL-VPN. Dit lek zit meer specifiek in de sslvpnd component, oftewel SSL VPN Daemon, die verantwoordelijk is voor het beheren van de SSL VPN verbindingen.

Volgens de onderzoekers is het lek te wijten aan onjuiste parametercontroles, waardoor er minder bytes buiten de bufferlimieten kunnen worden gekopieerd, wat leidt tot geheugencorruptie en flow redirection. Door gebruik te maken van deze kwetsbaarheid kan een externe, niet-geauthenticeerde aanvaller proberen om ongeautoriseerde code of commando's uit te voeren en de controle over de machine over te nemen met behulp van een speciaal vervalst verzoek tegen een FortiOS SSL-VPN server.

Om deze bug te patchen, moet je upgraden naar een van de volgende versies:

  • FortiOS versie 7.6.0 of hoger

  • FortiOS versie 7.4.3 of hoger

  • FortiOS versie 7.2.7 of hoger

  • FortiOS versie 7.0.14 of hoger

  • FortiOS versie 6.4.15 v

  • FortiOS versie 6.2.16 of hoger

Gezien de ernst van dit lek heeft het een CVSS-score van 9,6 uit 10 gekregen. Er is nog geen indicatie dat er een PoC beschikbaar is, maar we schatten in dat dit waarschijnlijk in de komende dagen of weken het geval zal zijn. Bovendien suggereert Fortinet in zijn geavanceerde waarschuwing dat de kwetsbaarheid al in het wild uitgebuit zou kunnen worden (exploit code maturity ranked as high in the CVSS scoring).

Een andere kritieke fout (een format-string bug geïdentificeerd als CVE-2024-23113) werd door Fortinet gevonden in de FortiGate naar FortiManager daemon. Er is nog niet bevestigd dat er misbruik van is gemaakt (ook al staat de volwassenheid van de exploitcode ook hoog in de CVSS-score van 9,8).

Helaas is er geen informatie beschikbaar over deze exploitatiegevallen. Gezien het feit dat uitbuiting van FortiOS SSL-VPN favoriet is bij bedreigingsactoren (met name Chinese APT's), classificeren we het dreigingsniveau van deze advisory als 4 uit 5.

1.4 Wat je moet doen

We raden je aan om de beveiligingspatches toe te passen die door Fortinet zijn uitgebracht om deze kwetsbaarheden te verhelpen.

Ook moet worden vermeld dat het uitschakelen van SSL VPN (webmodus uitschakelen) geen geldige workaround is voor CVE-2024-21762.

2. Bijlagen :

Eerste waarschuwing op : 2024-02-09 09:15:09

 

2.1 Externe links

Fortinet:

https://www.fortiguard.com/psirt/FG-IR-24-015

https://www.fortiguard.com/psirt/FG-IR-24-029

 

2.2 OCD links

Onze Managed Vulnerability Intelligence-klanten kunnen de advisory met alle details over deze kwetsbaarheid rechtstreeks raadplegen via de onderstaande links op onze Threat Defense Center-portal:

Als je meer wilt weten over deze door OCD beheerde service, neem dan contact met ons op via team[AT]cert.orangecyberdefense.com, en geef aan dat je World Watch-klant bent.

 

2.3. IOCs

n/a

 

2.4. Overig

Lijst van getroffen producten door CVE-2024-21762:

  • FortiOS version 7.4.0 through 7.4.2

  • FortiOS version 7.2.0 through 7.2.6

  • FortiOS version 7.0.0 through 7.0.13

  • FortiOS version 6.4.0 through 6.4.14

  • FortiOS version 6.2.0 through 6.2.15

  • FortiOS 6.0 all versions

Lijst van getroffen producten door CVE-2024-23113:

  • FortiOS version 7.4.0 through 7.4.2

  • FortiOS version 7.2.0 through 7.2.6

  • FortiOS version 7.0.0 through 7.0.13

 

2.5 mainCategory

mainCategory=Vulnerability

World Watch

Lees meer over onze World Watch.

Incident Response Hotline

Facing cyber incidents right now?

Contact our 24/7/365 world wide service incident response hotline.

Tel: +31 184 78 81 11