Fortinet heeft een nieuwe kritieke beveiligingsfout in FortiOS SSL VPN onthuld waarvan het zegt dat deze waarschijnlijk in het wild wordt uitgebuit.
De kwetsbaarheid, CVE-2024-21762 (CVSS-score: 9,6), maakt de uitvoering van willekeurige code en opdrachten mogelijk.
“Een schrijfkwetsbaarheid buiten het bereik [CWE-787] in FortiOS kan een niet-geauthenticeerde aanvaller op afstand willekeurige code of commando’s uitvoeren via speciaal vervaardigde HTTP-verzoeken”, aldus het bedrijf in een donderdag vrijgegeven bulletin.
Het erkende verder dat de kwestie “mogelijk in het wild wordt uitgebuit”, zonder aanvullende details te geven over hoe het wordt bewapend en door wie.
De volgende versies zijn getroffen door het beveiligingslek. Het is vermeldenswaard dat FortiOS 7.6 niet wordt beïnvloed.
- FortiOS 7.4 (versies 7.4.0 tot en met 7.4.2) – Upgrade naar 7.4.3 of hoger
- FortiOS 7.2 (versies 7.2.0 tot en met 7.2.6) – Upgrade naar 7.2.7 of hoger
- FortiOS 7.0 (versies 7.0.0 tot en met 7.0.13) – Upgrade naar 7.0.14 of hoger
- FortiOS 6.4 (versies 6.4.0 tot en met 6.4.14) – Upgrade naar 6.4.15 of hoger
- FortiOS 6.2 (versies 6.2.0 tot en met 6.2.15) – Upgrade naar 6.2.16 of hoger
- FortiOS 6.0 (versies 6.0 alle versies) – Migreren naar een vaste release
De ontwikkeling komt op het moment dat Fortinet patches uitbracht voor CVE-2024-23108 en CVE-2024-23109, wat gevolgen had voor de FortiSIEM-supervisor, waardoor een niet-geauthenticeerde aanvaller op afstand ongeautoriseerde opdrachten kon uitvoeren via vervaardigde API-verzoeken.
Eerder deze week onthulde de Nederlandse regering dat een computernetwerk dat door de strijdkrachten wordt gebruikt, was geïnfiltreerd door door de Chinese staat gesponsorde actoren door bekende fouten in Fortinet FortiGate-apparaten te exploiteren om een achterdeur te creëren genaamd COATHANGER.
Het bedrijf maakte in een deze week gepubliceerd rapport bekend dat N-day-beveiligingsproblemen in zijn software, zoals CVE-2022-42475 en CVE-2023-27997, door meerdere activiteitenclusters worden uitgebuit om overheden, dienstverleners en adviesbureaus te targeten. , productie- en grote organisaties met kritieke infrastructuur.
Eerder werden Chinese dreigingsactoren in verband gebracht met de zero-day exploitatie van beveiligingsfouten in Fortinet-apparaten om een breed scala aan implantaten te leveren, zoals BOLDMOVE, THINCRUST en CASTLETAP.
Het volgt ook op een advies van de Amerikaanse regering over een Chinese natiestatengroep genaamd Volt Typhoon, die zich heeft gericht op kritieke infrastructuur in het land voor onontdekte persistentie op de lange termijn door te profiteren van bekende en zero-day-fouten in netwerkapparatuur zoals die van Fortinet, Ivanti Connect Secure, NETGEAR, Citrix en Cisco voor initiële toegang.
China, dat de beschuldigingen heeft ontkend, beschuldigde de VS ervan hun eigen cyberaanvallen uit te voeren.
De campagnes van China en Rusland onderstrepen in ieder geval de groeiende dreiging waarmee internetgerichte edge-apparaten de afgelopen jaren te maken hebben gehad, vanwege het feit dat dergelijke technologieën geen ondersteuning bieden voor eindpuntdetectie en respons (EDR), waardoor ze rijp zijn voor misbruik.
“Deze aanvallen demonstreren het gebruik van reeds opgeloste N-day-kwetsbaarheden en daaropvolgende [living-off-the-land] Deze technieken zijn zeer indicatief voor het gedrag van de cyberactor of een groep actoren die bekend staat als Volt Typhoon en die deze methoden gebruikt om kritieke infrastructuur en mogelijk andere aangrenzende actoren aan te vallen”, aldus Fortinet.
