Fortinet

Sårbarheden har en CVSSv3 score på 9.8, så den skulle være forholdsvis let at udnytte.

En såkaldt "stack overflow" sårbarhed i FortiOS & FortiProxy åbner op for, at en angriber fra "remote" kan udføre kode eller kommandoer via specielt udformede forespørgelser, som kan foretage uautoriserede ændringer på proxy- eller firewall-regler.

Der er opdaget flere sårbarheder i Fortinet-produkter, hvoraf den mest alvorlige kan medføre afvikling af tilfældig kode. Det skriver The Hacker News på baggrund af en advisory af Fortnets PSIRT-team.

Sårbarheden har id’et CVE-2023-25610 og en CVSS -score på 9,3. 

Sårbarheden påvirker FortiOS og FortiProxy, som gør det muligt for en uautoriseret angriber at afvikle kode under den opsatte 'service-account' eller DoS-angreb (DoS) på GUI'en af sårbare enheder ved hjælp af specialfremstillede anmodninger.

I sidste uge kom opdateringen, i går var der en exploit-kode tilgængelig og i dag er der observeret de første angreb på sårbare Fortinet-apparater.

Det er Bleeping Computer, der bringer nyheden i dag, efter at det i går – som varslet – blev konstateret, at researchere fra Horizon3 havde udgivet et proof-of-concept exploit kode til den kritiske fejl, der blev kendt for offentligheden i torsdag i sidste uge.

Fortinet har udsendt patches til håndtering af 40 fejl, der påvirker flere produkter i Fortinets softwareprogram.

Det skriver The Hacker News og en række andre medier på baggrund af en sikkerhedsadvisory fra Fortinets PSIRT.

I alt afhjælpes 40 sårbarheder, hvoraf to er vurderet som kritiske. Den mest alvorlige (CVE-2022-39952) har en score på 9,8 og findes i Fortinets løsning til kontrol af netværksadgang (FortiNAC). Den kan ved udnyttelse medføre afvikling af vilkårlig kode.

En formodet kinesisk trusselsaktør har udnyttet en sårbarhed i Fortinet FortiOS SSL-VPN som en 0-dagssårbarhed i et angreb rettet mod en europæisk myndighed og Managed Service Provider (MSP) i Afrika.

Det interessante i denne sag er, at data viser, at udnyttelsen fandt sted allerede i oktober 2022, hvilket er næsten to måneder før rettelserne til Fortinet FortiOS blev frigivet. Det er den Google-ejede sikkerhedsvirksomhed Mandiant, der har fundet data, der indikerer dette.

Fortinet, der udbyder sikkerhedsløsninger, har i denne uge bekendtgjort, at der er patches for adskillige sårbarheder på tværs af produktporteføljen. Det skriver Security Week.

En af sårbarhederne er en alvorlig command injection-fejl i FortiADC.

Den har id’et CVE-2022-39947 og en CVSS-score på 8,6. Den er fundet i FortiADC-webgrænsefladen og vil kunne føre til vilkårlig afvikling af kode. Fortinet skriver i sin advisory, at problemet påvirker FortiADC version 5.4.x, 6.0.x, 6.1.x, 6.2.x og 7.0.x. og bliver løst med udgivelsen af FortiADC 6.2.4 og 7.0.2.

Fortinet udsendte mandag en nødpatch for at rette en alvorlig sårbarhed i FortiOS SSL-VPN-produktet. Med nødpatchet følger en advarsel om, at angribere allerede udnyttet fejlen in-the-wild. Det skriver Security Week og en række andre medier.

Fejlen har id’et CVE-2022-4247 og en CVSS-score på 9,3 og beskrives som en en heap-baseret bufferoverløbssårbarhed. Det er et bufferoverflow, hvor bufferen kan overskrives og som allokeres i heap-delen af hukommelsen. Det betyder, at bufferen bliver allokeret ved hjælp af en rutine såsom malloc().

Researchere advarer om, at en nyligt afsløret ransomwaretype ikke er i stand til at dekryptere filer. I stedet ødelægger ransomwaren filerne. Det skriver ZDnet i en artikel i sidste uge med henvisning til noget ransomware, der angiveligt dukkede op første gang i oktober.  

Ransomwaren har fået navnet Cryptonite, den er kodet i Python og skal være en del af et open source-tool, der er ligger til gratis download for alle, der ellers har færdighederne til at implementere det i angreb mod Microsoft Windows-systemer. Leveringsmetoden er som altid phishingangreb.

Fortinet, som udbyder sikkerhedsløsninger, har i sidste uge annonceret opdateringer til håndtering af flere sårbarheder på tværs af produktproteføljen. Det skriver Security Week.

En af disse er en authentification bypass – altså omgåelse af autentifikation - der påvirker FortiOS og FortiProxy. Sårbarheden har id’et CVE-2022-35843 og en CVSS-score på 7,7. Den er blevet fundet i SSH-loginkomponenten i FortiOS, og den gør det muligt for en ekstern og uautoriseret angriber at logge ind på enheden ved at sende et specielt udformet Access-Challenge-svar fra Radius-serveren.

Fortinet har udsendt rettelser til 16 sårbarheder i nogle af virksomhedens produkter. Det skriver Security Affairs.

En af de mere alvorlige sårbarheder vedrører cross-site scripting (XSS) i Log-siderne i FortiADC. FortiADC er en kontrolfeature, som sikrer applikationers tilgængelighed, sikkerhed og optimering. Fejlen har id’et CVE-2022-38374 og en CVSS-score på 8,8. Sårbarheden kan udnyttes af en ekstern, uautoriseret angriber kan udløse fejlen til at udføre et lagret cross-site scripting (XSS)-angreb via HTTP-felter, der observeres i trafik- og hændelseslogvisningerne.