Aktívne zneužívaná kritická zraniteľnosť FortiOS SSL VPN

Spoločnosť Fortinet vydala varovanie pred dvoma kritickými zraniteľnosťami. Obe kritické RCE zraniteľnosti  umožňujú neautentifikovanému útočníkovi ľubovoľné vykonávanie kódu alebo príkazovprostredníctvom špeciálne vytvorených HTTP požiadaviek. Zraniteľnosť CVE-2024-21762 je aktívne zneužívaná.

VJ CSIRT odporúča bezodkladne aktualizovať zraniteľné produkty Fortinet. Pokiaľ nie je možné vykonať aktualizáciu, nie je bezpečné využívať službu SSL VPN.

Zraniteľné systémy:

• FortiOS 7.4 (7.4.0 – 7.4.2)
• FortiOS 7.2 (7.2.0 – 7.2.6)
• FortiOS 7.0 (7.0.0 – 7.0.13)
• FortiOS 6.4 (6.4.0 – 6.4.14)
• FortiOS 6.2 (6.2.0 – 6.2.15)
• FortiOS 6.0

Opis činnosti:

CVE-2024-21762 (CVSS skóre 9,6)

Kritická zraniteľnosť CVE-2024-21762 sa nachádza v komponente sslvpnd  a  umožňuje zapisovať mimo povolené hodnoty vyrovnávacej pamäte. Úspešné zneužitie umožňuje neautentifikovanému útočníkovi ľubovoľné vykonávanie kódu alebo príkazov prostredníctvom špeciálne vytvorených HTTP požiadaviek. Útočník má možnosť zapisovať údaje pred začiatok alebo za koniec vyrovnávacej pamäte.

Pre zraniteľnosť nie je vydaná dočasná mitigácia, zakázanie webového režimu VPN zraniteľnosť nerieši.

Zraniteľnosť CVE-2024-21762 môže byť aktívne zneužívaná.

CVE-2024-23113 (CVSS skóre 9,8)

Kritická zraniteľnosť CVE-2024-23113 sa nachádza v komponente fgfmd (fortigate/fortimanager communication daemon). Ide o bug formátovania reťazca z požiadavky. Úspešné zneužitie umožňuje neautentifikovanému útočníkovi vykonávanie ľubovoľného kódu alebo príkazov prostredníctvom špeciálne vytvorených HTTP požiadaviek.

Podľa nedávnej správy od spoločnosti Fortinet sa na zraniteľnosti ich produktov zameriava Čínska, štátom sponzorovaná skupina Volt Typhoon.

Závažnosť zraniteľnosti: Kritická

Možné škody:

• Vykonávanie ľubovoľného kódu
• Kompromitácia bezpečnostných sieťových prvkov

Odporúčania:

Pokiaľ nemôžete aktualizovať, pre zmiernenie zraniteľnosti CVE-2024-21762 odporúčame vypnúť SSL VPN v zariadeniach Fortinet. (Pre zraniteľnosť nie je vydaná dočasná mitigácia, zakázanie webového režimu VPN zraniteľnosť nerieši.)

Bezodkladná aktualizácia verzie:

Verzia                  Zraniteľné                           Opravená verzia

FortiOS 7.6         nie je zraniteľná               –

FortiOS 7.4         7.4.0 – 7.4.2                      Upgrade na 7.4.3 alebo novšiu

FortiOS 7.2         7.2.0 – 7.2.6                       Upgrade na 7.2.7 alebo novšiu

FortiOS 7.0         7.0.0 – 7.0.13                     Upgrade na 7.0.14 alebo novšiu

FortiOS 6.4         6.4.0 – 6.4.14                     Upgrade na 6.4.15 alebo novšiu

FortiOS 6.2         6.2.0 – 6.2.15                     Upgrade na 6.2.16 alebo novšiu

FortiOS 6.0         všetky verzie                    Potrebný upgrade na vyššiu verziu

Odkazy:

• https://www.fortiguard.com/psirt/FG-IR-24-015
• https://www.fortiguard.com/psirt/FG-IR-24-029
• https://thehackernews.com/2024/02/fortinet-warns-of-critical-fortios-ssl.html?m=1
• https://www.bleepingcomputer.com/news/security/new-fortinet-rce-flaw-in-ssl-vpn-likely-exploited-in-attacks/
• https://vuldb.com/?id.253258
• https://nvd.nist.gov/vuln/detail/CVE-2024-23213
• https://securityaffairs.com/158908/hacking/fortinet-fortios-rce-exploitation.html