Beveiligingslekken in Fortinet FortiOS en FortiProxy

Security expert Peter Lahousse meldt op het forum van Digital Trust Center: 'Deze kwetsbaarheden, geïdentificeerd als CVE-2023-42789 en CVE-2023-42790, hebben een risicobeoordeling van 9.3 op een schaal van 1 tot 10 gekregen, wat wijst op een ernstig beveiligingsrisico. De gevonden lekken stellen een aanvaller in staat om willekeurige code en commando's uit te voeren op het getroffen systeem door specifiek geformuleerde HTTP-requests te versturen, wat kan leiden tot een out-of-bounds write of buffer overflow.

FortiOS, het besturingssysteem van Fortinet, wordt gebruikt op diverse netwerkapparaten zoals firewalls en VPN-systemen. FortiProxy fungeert als een webgateway en beide systemen gebruiken een captive portal om gebruikers te authenticeren alvorens zij toegang krijgen tot webbronnen. Fortinet heeft reeds beveiligingsupdates vrijgegeven om deze kwetsbaarheden te verhelpen en raadt organisaties aan deze zo snel mogelijk te installeren.

Daarnaast is er een workaround beschikbaar gesteld om misbruik van de lekken te voorkomen. Opmerkelijk is dat recent bleek dat 150.000 apparaten van Fortinet nog steeds een belangrijke beveiligingsupdate missen voor een ander actief aangevallen lek, wat het belang van snelle en effectieve patching onderstreept.'

Update DTC:

De meest kritieke kwetsbaarheden in Fortinet FortiOS en FortiProxy zijn CVE-2023-42789 en CVE-2023-42790 en stellen een kwaadwillende met toegang tot het captive portal in staat om willekeurige code uit te voeren. De kwetsbaarheden zijn ingeschaald als 'High/High'. Dit betekent dat er een grote kans is dat deze kwetsbaarheden misbruikt worden en dat de schade groot kan zijn.

Wat is het risico?

De kwetsbaarheden CVE-2023-42789 en CVE-2023-42790 zijn van toepassing op FortiOS en FortiProxy en stellen een kwaadwillende met toegang tot het captive portal in staat om willekeurige code uit te voeren. De kwetsbaarheid CVE-2024-23112 is ook van toepassing op FortiOS en FortiProxy. Deze kwetsbaarheid stelt een geauthentiseerde kwaadwillende in staat om een beveiligingsmaatregel te omzeilen. Hierdoor kan toegang tot een bookmark verkregen worden. De kwetsbaarheid CVE-2023-46717 is alleen van toepassing op FortiOS als deze geconfigureerd is met FortiAuthenticator in High Availability (HA). Deze kwetsbaarheid stelt een geauthentiseerde kwaadwillende met leesrechten in staat om ook schrijfrechten te verkrijgen.

Wat kun je doen?

Fortinet heeft updates uitgebracht om de bovengenoemde kwetsbaarheden in FortiOS en FortiProxy te verhelpen. Het Digital Trust Center (DTC) adviseert om de beschikbare beveiligingsupdates zo snel mogelijk te (laten) installeren naar de onderstaande versies:

• FortiOS 7.4.2 of hoger
• FortiOS 7.2.7 of hoger
• FortiOS 7.0.14 of hoger
• FortiOS 6.4.15 of hoger
• FortiOS 6.2.16 of hoger
• FortiProxy 7.4.3 of hoger
• FortiProxy 7.2.9 of hoger
• FortiProxy 7.0.15 of hoger
• FortiProxy 2.014 of hoger

Als je gebruik maakt van FortiSASE versie 23.3.b., heeft Fortinet de kwetsbaarheden CVE-2023-42789 en CVE-2023-42790 al verholpen en hoef je geen actie te ondernemen. Als het niet mogelijk is om de beveiligingsupdates meteen te (laten) installeren, adviseert Fortinet voor de kwetsbaarheden CVE-2024-23112, CVE-2023-42789 en CVE-2023-42790 alternatieve maatregelen.