Aktívne zneužívaná kritická zraniteľnosť FortiOS SSL VPN
Spoločnosť Fortinet vydala varovanie pred dvoma kritickými zraniteľnosťami. Obe kritické RCE zraniteľnosti umožňujú neautentifikovanému útočníkovi ľubovoľné vykonávanie kódu alebo príkazovprostredníctvom špeciálne vytvorených HTTP požiadaviek. Zraniteľnosť CVE-2024-21762 je aktívne zneužívaná.
VJ CSIRT odporúča bezodkladne aktualizovať zraniteľné produkty Fortinet. Pokiaľ nie je možné vykonať aktualizáciu, nie je bezpečné využívať službu SSL VPN.
Zraniteľné systémy:
- FortiOS 7.4 (7.4.0 – 7.4.2)
- FortiOS 7.2 (7.2.0 – 7.2.6)
- FortiOS 7.0 (7.0.0 – 7.0.13)
- FortiOS 6.4 (6.4.0 – 6.4.14)
- FortiOS 6.2 (6.2.0 – 6.2.15)
- FortiOS 6.0
Opis činnosti:
CVE-2024-21762 (CVSS skóre 9,6)
Kritická zraniteľnosť CVE-2024-21762 sa nachádza v komponente sslvpnd a umožňuje zapisovať mimo povolené hodnoty vyrovnávacej pamäte. Úspešné zneužitie umožňuje neautentifikovanému útočníkovi ľubovoľné vykonávanie kódu alebo príkazov prostredníctvom špeciálne vytvorených HTTP požiadaviek. Útočník má možnosť zapisovať údaje pred začiatok alebo za koniec vyrovnávacej pamäte.
Pre zraniteľnosť nie je vydaná dočasná mitigácia, zakázanie webového režimu VPN zraniteľnosť nerieši.
Zraniteľnosť CVE-2024-21762 môže byť aktívne zneužívaná.
CVE-2024-23113 (CVSS skóre 9,8)
Kritická zraniteľnosť CVE-2024-23113 sa nachádza v komponente fgfmd (fortigate/fortimanager communication daemon). Ide o bug formátovania reťazca z požiadavky. Úspešné zneužitie umožňuje neautentifikovanému útočníkovi vykonávanie ľubovoľného kódu alebo príkazov prostredníctvom špeciálne vytvorených HTTP požiadaviek.
Podľa nedávnej správy od spoločnosti Fortinet sa na zraniteľnosti ich produktov zameriava Čínska, štátom sponzorovaná skupina Volt Typhoon.
Závažnosť zraniteľnosti: Kritická
Možné škody:
- Vykonávanie ľubovoľného kódu
- Kompromitácia bezpečnostných sieťových prvkov
Odporúčania:
Pokiaľ nemôžete aktualizovať, pre zmiernenie zraniteľnosti CVE-2024-21762 odporúčame vypnúť SSL VPN v zariadeniach Fortinet. (Pre zraniteľnosť nie je vydaná dočasná mitigácia, zakázanie webového režimu VPN zraniteľnosť nerieši.)
Bezodkladná aktualizácia verzie:
Verzia Zraniteľné Opravená verzia
FortiOS 7.6 nie je zraniteľná –
FortiOS 7.4 7.4.0 – 7.4.2 Upgrade na 7.4.3 alebo novšiu
FortiOS 7.2 7.2.0 – 7.2.6 Upgrade na 7.2.7 alebo novšiu
FortiOS 7.0 7.0.0 – 7.0.13 Upgrade na 7.0.14 alebo novšiu
FortiOS 6.4 6.4.0 – 6.4.14 Upgrade na 6.4.15 alebo novšiu
FortiOS 6.2 6.2.0 – 6.2.15 Upgrade na 6.2.16 alebo novšiu
FortiOS 6.0 všetky verzie Potrebný upgrade na vyššiu verziu
Odkazy:
- https://www.fortiguard.com/psirt/FG-IR-24-015
- https://www.fortiguard.com/psirt/FG-IR-24-029
- https://thehackernews.com/2024/02/fortinet-warns-of-critical-fortios-ssl.html?m=1
- https://www.bleepingcomputer.com/news/security/new-fortinet-rce-flaw-in-ssl-vpn-likely-exploited-in-attacks/
- https://vuldb.com/?id.253258
- https://nvd.nist.gov/vuln/detail/CVE-2024-23213
- https://securityaffairs.com/158908/hacking/fortinet-fortios-rce-exploitation.html