Kritiske sårbarheder i FortiOS SSL VPN

Fortinet advarer om en ny kritisk ’remote code execution’-sårbarhed i FortiOS SSL VPN, som i øjeblikket potentielt bliver udnyttet til angreb på sårbare enheder.

Det skriver Bleeping Computer.

Der er tale om en såkaldt ’out-of-bounds’-sårbarhed, som kan åbne for, at en uautoriseret fjendtlig aktør kan udføre vilkårlig kode eller kommando via specielt udformede HTTP-anmodninger. Derudover er der fundet en ‘Server-Side Request Forgery’-sårbarhed (SSRF), der giver brugere med få privilegier mulighed for også at afvikle kode udefra. Ydermere er der fundet to medium-alvorlige sårbarheder.

Out-of-bounds-sårbarheden har id’et CVE-2024-21762 og en CVSS-score på 9,6, mens SSRF-sårbarhden har id’et CVE-2024-24113 og en score på 9,6.

De berørte produkter er:

• FortiOS 7.4.0 til 7.4.2  
• FortiOS 7.2.0 til 7.2.6  
• FortiOS 7.0.0 til 7.0.13
• FortiOS 6.4.0 til 6.4.14
• FortiOS 6.2.0 til 6.2.15
• FortiOS 6.0 alle versioner

Det menes, at CVE-2024-21762 allerede er under udnyttelse, og det anbefales at opgradere til version 7.6. Hvis det ikke er muligt, kan man deaktivere SSL VPN (deaktivering af webtilstand er ikke en valid løsning). De øvrige fejl skulle ikke være udnyttet in-the-wild.

Kædes sammen med angreb i Holland

Trusselsaktører målretter almindeligvis Fortinet-fejl for at bryde virksomhedens netværk mhp. ransomware-angreb og cyberspionage, hvilket der er set eksempler på på det seneste, skriver Bleeping Computer.

Således har Fortinet oplyst, at Volt Typhoon, en kinesisk statssponsoreret trusselsaktør, angiveligt har angrebet FortiOS-sårbarheder med henblik på at implementere en malware ved navn COATHANGER. Det er en fjernadgangstrojaner, der er designet til at inficere Fortigate netværkssikkerhedsapparater. Det er denne, der for nyligt er blevet fundet brugt i angreb mod det hollandske forsvarsministerium.

Links:  

https://www.fortiguard.com/psirt/FG-IR-24-015

https://www.bleepingcomputer.com/news/security/new-fortinet-rce-flaw-in-...