[Warning] Kritische Sicherheitslücken in Fortinet FortiOS, Updates verfügbar
Michael Schlagenhaufer
schlagenhaufer at cert.at
Fri Feb 9 10:41:25 CET 2024
09. Februar 2024
Beschreibung
Fortinet hat zwei kritische Security Advisories veröffentlicht. Beide
Security Advisories behandeln Sicherheitslücken, die es
unauthentifizierten Angreifer:innen erlauben, Code auf betroffenen
Geräten auszuführen. Fortinet gibt bezüglich einer dieser
Sicherheitslücken an, dass diese potentiell bereits aktiv für Angriffe
ausgenutzt wird.
CVE-Nummer(n): CVE-2024-21762, CVE-2024-23113
CVSS Base Score: 9.8 (CVE-2024-23113) beziehungsweise 9.6
(CVE-2024-21762)
Auswirkungen
Unauthentifizierte Angreifer:innen können durch Ausnutzen der Lücke auf
betroffenen Geräten beliebigen Code ausführen. Da diese Geräte auch für
VPNs zum Einsatz kommen, ist auch ein Mitlesen bzw. Verändern des
VPN-Verkehrs nicht auszuschließen. Des Weiteren sind alle durch das VPN
erreichbaren Systeme entsprechend gefährdet.
Betroffene Systeme
CVE-2024-21762:
* FortiOS 7.4.0 - 7.4.2
* FortiOS 7.2.0 - 7.2.6
* FortiOS 7.0.0 - 7.0.13
* FortiOS 6.4.0 - 6.4.14
* FortiOS 6.2.0 - 6.2.15
* FortiOS 6.0 all versions
CVE-2024-23113:
* FortiOS 7.4.0 - 7.4.2
* FortiOS 7.2.0 - 7.2.6
* FortiOS 7.0.0 - 7.0.13
Abhilfe
Einspielen der entsprechend fehlerbereinigten Firmware-Versionen.
Da Fortinet angibt, dass potentiell zumindest eine dieser
Sicherheitslücken bereits aktiv für Angriffe ausgenutzt wird, sollte
jedenfalls auch eine bereits stattgefundene Kompromittierung von über
das öffentliche Internet erreichbaren Gerät in Betracht gezogen werden.
Hinweis
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und
dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
__________________________________________________________________
Informationsquelle(n):
Fortinet PSIRT Advisory FG-IR-24-015 - FortiOS - Out-of-bound Write in
sslvpnd
https://www.fortiguard.com/psirt/FG-IR-24-015
Fortinet PSIRT Advisory FG-IR-24-029 - FortiOS - Format String Bug in
fgfmd
https://www.fortiguard.com/psirt/FG-IR-24-029
Mit freundlichen Grüßen,
CERT.at
--
// Michael Schlagenhaufer <schlagenhaufer at cert.at> - T: +43 1 5056416
// CERT Austria - https://www.cert.at/
// CERT.at GmbH, FB-Nr. 561772k, HG Wien
-------------- next part --------------
A non-text attachment was scrubbed...
Name: OpenPGP_signature.asc
Type: application/pgp-signature
Size: 840 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20240209/149ba8b5/attachment.sig>
More information about the Warning
mailing list