[Warning] Kritische Sicherheitslücken in Fortinet FortiOS, Updates verfügbar

Michael Schlagenhaufer schlagenhaufer at cert.at
Fri Feb 9 10:41:25 CET 2024 

    09. Februar 2024

Beschreibung

    Fortinet hat zwei kritische Security Advisories veröffentlicht. Beide
    Security Advisories behandeln Sicherheitslücken, die es
    unauthentifizierten Angreifer:innen erlauben, Code auf betroffenen
    Geräten auszuführen. Fortinet gibt bezüglich einer dieser
    Sicherheitslücken an, dass diese potentiell bereits aktiv für Angriffe
    ausgenutzt wird.

    CVE-Nummer(n): CVE-2024-21762, CVE-2024-23113

    CVSS Base Score: 9.8 (CVE-2024-23113) beziehungsweise 9.6
    (CVE-2024-21762)

Auswirkungen

    Unauthentifizierte Angreifer:innen können durch Ausnutzen der Lücke auf
    betroffenen Geräten beliebigen Code ausführen. Da diese Geräte auch für
    VPNs zum Einsatz kommen, ist auch ein Mitlesen bzw. Verändern des
    VPN-Verkehrs nicht auszuschließen. Des Weiteren sind alle durch das VPN
    erreichbaren Systeme entsprechend gefährdet.

Betroffene Systeme

      CVE-2024-21762:
      * FortiOS 7.4.0 - 7.4.2
      * FortiOS 7.2.0 - 7.2.6
      * FortiOS 7.0.0 - 7.0.13
      * FortiOS 6.4.0 - 6.4.14
      * FortiOS 6.2.0 - 6.2.15
      * FortiOS 6.0 all versions

      CVE-2024-23113:
      * FortiOS 7.4.0 - 7.4.2
      * FortiOS 7.2.0 - 7.2.6
      * FortiOS 7.0.0 - 7.0.13

Abhilfe

    Einspielen der entsprechend fehlerbereinigten Firmware-Versionen.

    Da Fortinet angibt, dass potentiell zumindest eine dieser
    Sicherheitslücken bereits aktiv für Angriffe ausgenutzt wird, sollte
    jedenfalls auch eine bereits stattgefundene Kompromittierung von über
    das öffentliche Internet erreichbaren Gerät in Betracht gezogen werden.

Hinweis

    Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und
    dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
    Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
      __________________________________________________________________

Informationsquelle(n):

    Fortinet PSIRT Advisory FG-IR-24-015 - FortiOS - Out-of-bound Write in
    sslvpnd
    https://www.fortiguard.com/psirt/FG-IR-24-015

    Fortinet PSIRT Advisory FG-IR-24-029 - FortiOS - Format String Bug in
    fgfmd
    https://www.fortiguard.com/psirt/FG-IR-24-029


Mit freundlichen Grüßen,

CERT.at
-- 
// Michael Schlagenhaufer <schlagenhaufer at cert.at> - T: +43 1 5056416
// CERT Austria - https://www.cert.at/
// CERT.at GmbH, FB-Nr. 561772k, HG Wien
-------------- next part --------------
A non-text attachment was scrubbed...
Name: OpenPGP_signature.asc
Type: application/pgp-signature
Size: 840 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20240209/149ba8b5/attachment.sig>

More information about the Warning mailing list