Deze liveblog bevat informatie over de FortiOS SSL-VPN/FGFM kwetsbaarheid. Zodra we een update hebben voegen we die aan deze blog toe. Meer informatie over mogelijke risico’s en details worden onderaan deze blog geplaatst. Laatste update op 9 februari 2024.
Update 9 februari 2024
16:00 | Op 8 februari 2024, heeft Fortinet een Advisory gepubliceerd waarin CVE-2024-21762 wordt beschreven. Via deze kwetsbaarheid kan een niet-geauthentiseerde aanvaller op afstand willekeurige code uitvoeren via de FortiOS SSL VPN-interface met behulp van specifiek vervaardigde verzoeken.
In een tweede Advisory, eveneens gepubliceerd op 8 februari, beschrijft Fortinet CVE-2024-23113. Via dit beveiligingslek in de FortiOS FortiGate-to-FortiManager (FGFM) interface kan een niet-geauthentiseerde externe aanvaller ook willekeurige code of opdrachten uitvoeren via speciaal vervaardigde verzoeken. De impact van dit beveiligingslek is naar verwachting minder kritiek, omdat de betreffende interface in de meeste gevallen niet publiek toegankelijk is.
Beide kwetsbaarheden worden reeds in het wild uitgebuit, maar voor geen van de kwetsbaarheden is publieke exploit-code beschikbaar. Beide kwetsbaarheden zijn verholpen in de laatste software-update voor ondersteunde versies van FortiOS. Tevens biedt Fortinet voor beide kwetsbaarheden een workaround.
De FortiOS SSL VPN interface is doorgaans publiek op het internet ontsloten. Daarnaast is een FortiGate firewall vaak een kritiek onderdeel van de IT-infrastructuur. Dit maakt de kwetsbaarheid zeer kritiek en maakt dat deze zo snel mogelijk verholpen moet worden!
Aanleiding en achtergrond van deze blog
Deze blog bevat informatie over kwetsbaarheden, het mogelijke risico en advies om schade te voorkomen of beperken. Onderstaand staan de mogelijke risico’s, details en achtergrondinformatie.
Kwetsbaarheid informatie
Op 8 februari 2024, heeft Fortinet een Advisory gepubliceerd waarin CVE-2024-21762 wordt beschreven. Via deze kwetsbaarheid kan een niet-geauthentiseerde aanvaller op afstand willekeurige code uitvoeren via de FortiOS SSL VPN-interface met behulp van specifiek vervaardigde verzoeken.
In een tweede Advisory, eveneens gepubliceerd op 8 februari, beschrijft Fortinet CVE-2024-23113. Via dit beveiligingslek in de FortiOS FortiGate-to-FortiManager (FGFM) interface kan een niet-geauthentiseerde externe aanvaller ook willekeurige code of opdrachten uitvoeren via speciaal vervaardigde verzoeken. De impact van dit beveiligingslek is naar verwachting minder kritiek, omdat de betreffende interface in de meeste gevallen niet publiek toegankelijk is.
Beide kwetsbaarheden worden reeds in het wild uitgebuit, maar voor geen van de kwetsbaarheden is publieke exploit-code beschikbaar. Beide kwetsbaarheden zijn verholpen in de laatste software-update voor ondersteunde versies van FortiOS. Tevens biedt Fortinet voor beide kwetsbaarheden een workaround.
De FortiOS SSL VPN interface is doorgaans publiek op het internet ontsloten. Daarnaast is een FortiGate firewall vaak een kritiek onderdeel van de IT-infrastructuur. Dit maakt de kwetsbaarheid zeer kritiek en maakt dat deze zo snel mogelijk verholpen moet worden!
Mogelijke risico’s
Zowel kwetsbaarheid CVE-2024-21762 als CVE-2024-23113 geven een niet-geauthentiseerde aanvaller de mogelijkheid om op afstand willekeurige code uit te voeren. De kwetsbaarheden hebben een CVSSv3-score van 9,8. De CVSS-schaal loopt van 0 tot 10. Een score van 9,8 of hoger is zeldzaam en impliceert een hoog risico op uitbuiting met grote impact.
Fortinet geeft aan op de hoogte te zijn van een incident waarbij de kwetsbaarheid is misbruikt. Code of instructies voor het uitbuiten van de kwetsbaarheid zijn nog niet publiek beschikbaar.
Detail informatie
Kwetsbaarheid CVE-2024-21762 in de FortiOS SSL VPN-interface is aanwezig in de volgende versies en kan worden opgelost door te upgraden naar de aangegeven versies:
| Versie | Geraakte versies | Oplossing |
| FortiOS 7.6 | Niet geraakt | Niet van toepassing |
| FortiOS 7.4 | 7.4.0 tot 7.4.2 | Upgrade naar 7.4.3 of hoger |
| FortiOS 7.2 | 7.2.0 tot 7.2.6 | Upgrade naar 7.2.7 of hoger |
| FortiOS 7.0 | 7.0.0 tot 7.0.13 | Upgrade naar 7.0.14 of hoger |
| FortiOS 6.4 | 6.4.0 tot 6.4.14 | Upgrade naar 6.4.15 of hoger |
| FortiOS 6.2 | 6.2.0 tot 6.2.15 | Upgrade naar 6.2.16 of hoger |
| FortiOS 6.0 | 6.0 alle versies | Migreer naar een ondersteunde versie |
Uitbuiting van kwetsbaarheid CVE-2024-21762 kan worden voorkomen door de SSL VPN-functionaliteit uit te schakelen (het uitschakelen van de webmode is geen correcte oplossing) of door de toegang tot de interface via een IP-filter te beperken.
Kwetsbaarheid CVE-2024-23113 in de FortiOS FortiGate-to-FortiManager interface is aanwezig in de volgende versies en kan worden opgelost door te upgraden naar de aangegeven versies:
| Versie | Geraakte versies | Oplossing |
| FortiOS 7.4 | 7.4.0 tot 7.4.2 | Upgrade naar 7.4.3 of hoger |
| FortiOS 7.2 | 7.2.0 tot 7.2.6 | Upgrade naar 7.2.7 of hoger |
| FortiOS 7.0 | 7.0.0 tot 7.0.13 | Upgrade naar 7.0.14 of hoger |
Uitbuiting van kwetsbaarheid CVE-2024-23113 kan ook worden voorkomen door de FGFM-toegang op alle interfaces te verwijderen. Meer details zijn te vinden in het beveiligingsadvies van Fortinet: https://www.fortiguard.com/psirt/FG-IR-24-029
Bronnen
Meer informatie:
Aanmelden
Wilt u tijdig geïnformeerd worden? Schrijf u dan in voor onze technische updates
Wilt u de kritieke kwetsbaarheden voortaan ook per e-mail ontvangen? Abonneer u dan op de nieuwbrief.
Tesorion gebruikt uw gegevens voor het versturen van de gevraagde informatie en mogelijk telefonisch contact. U kunt zich op elk gewenst moment afmelden. Lees voor meer informatie ons privacybeleid.
