Van de kritieke kwetsbaarheid met het kenmerk (CVE-2024-21762) is een zogeheten Proof of Concept (PoC) verschenen. De PoC beschrijft hoe er misbruik kan worden gemaakt van de kwetsbaarheid. Het advies is ongewijzigd.
Fortinet heeft een beveiligingsupdate uitgebracht die een kritieke kwetsbaarheid verhelpt in FortiOS SSL-VPN. FortiOS wordt gebruikt als de basis van de Fortinet beveiligingsproducten. De beveiligingsfout staat bekend als CVE-2024-21762 (1) en maakt het voor derden mogelijk om zonder authenticatie een Denial-of-Service (DoS) te veroorzaken of om op afstand code uit te voeren en daarmee de systemen over te nemen.
Fortinet meldt dat deze kwetsbaarheid actief en beperkt is misbruikt. Er is op dit moment nog geen publieke exploitcode beschikbaar. Maar door de ernst van de kwetsbaarheid, en de verwachting dat op korte termijn exploitcode zal verschijnen waardoor grootschalig misbruik mogelijk gaat worden, heeft het Nationaal Cyber Security Centrum (NCSC) besloten om het beveiligingsadvies aan te duiden als High/High (2). Dat wil zeggen dat er een grote kans is dat deze kwetsbaarheden worden misbruikt en dat de schade groot kan zijn.
De kwetsbaarheid, beoordeeld met een CVSS score van 9.6, bevindt zich in de sslvpnd en stelt een kwaadwillende op afstand in staat om middels HTTP-requests willekeurige code uit te voeren op het kwetsbare systeem.
In het geval dat een kwaadwillende toegang heeft tot de interne infrastructuur en een ‘Man-in-the-Middle’ positie kan innemen, maakt deze kwetsbaarheid het mogelijk toegang te krijgen tot de FortiLink verbinding tussen het kwetsbare systeem en een FortiSwitch.
De meest recente update van FortiOS, v7.6 is niet gevoelig voor deze kwetsbaarheid. Voor alle overige versies van FortiOS, 7.4 en lager, heeft Fortinet updates uitgebracht. Het Digital Trust Center adviseert om de beschikbare updates zo snel mogelijk te (laten) installeren. Als het niet mogelijk is de updates onmiddellijk uit te voeren, geeft Fortinet aan dat het uitschakelen van de SSL VPN als workaround overwogen kan worden. Meer informatie en de laatste updates van FortiOS vind je hier (3).
Installeer de update zelf of laat de door Fortinet beschikbaar gestelde beveiligingsupdate door je IT-dienstverlener installeren. Weet je niet zeker of je gebruik maakt van een kwetsbare versie, neem dan snel even contact op te nemen met je IT-dienstverlener.
(1) https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-21762
(2) https://www.ncsc.nl/actueel/advisory?id=NCSC-2024-0058
(3) https://www.fortiguard.com/psirt/FG-IR-24-015
