CISA waarschuwt voor kritieke Fortinet-fouten nu Palo Alto en Cisco dringende beveiligingspatches uitbrengen

De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft woensdag een kritieke beveiligingsfout die van invloed is op Fortinet-producten toegevoegd aan de Known Exploited Vulnerabilities (KEV)-catalogus, daarbij verwijzend naar bewijs van actieve exploitatie.

De kwetsbaarheid, bijgehouden als CVE-2024-23113 (CVSS-score: 9,8), heeft betrekking op gevallen van uitvoering van code op afstand die gevolgen hebben voor FortiOS, FortiPAM, FortiProxy en FortiWeb.

“Het gebruik van een extern gecontroleerde kwetsbaarheid voor formatstrings (CWE-134) in de FortiOS fgfmd-daemon kan een niet-geauthenticeerde aanvaller op afstand in staat stellen willekeurige code of opdrachten uit te voeren via speciaal vervaardigde verzoeken”, merkte Fortinet op in een advies over de fout in februari 2024.

Zoals doorgaans het geval is, bevat het bulletin weinig details over de manier waarop de tekortkoming in het wild wordt uitgebuit, of wie deze als wapen gebruikt en tegen wie.

In het licht van de actieve uitbuiting hebben de agentschappen van de Federal Civilian Executive Branch (FCEB) het mandaat gekregen om de door de leverancier verstrekte maatregelen uiterlijk 30 oktober 2024 toe te passen, voor optimale bescherming.

Palo Alto Networks onthult kritieke bugs tijdens expeditie

De ontwikkeling komt nadat Palo Alto Networks meerdere beveiligingsfouten in Expedition heeft onthuld waardoor een aanvaller database-inhoud en willekeurige bestanden kan lezen, naast het schrijven van willekeurige bestanden naar tijdelijke opslaglocaties op het systeem.

“Gecombineerd omvatten deze informatie zoals gebruikersnamen, leesbare wachtwoorden, apparaatconfiguraties en apparaat-API-sleutels van PAN-OS-firewalls”, zei Palo Alto Networks woensdag in een waarschuwing.

Fortinet-fout

De kwetsbaarheden die alle versies van Expedition vóór 1.2.96 treffen, worden hieronder vermeld:

  • CVE-2024-9463 (CVSS-score: 9,9) – Een kwetsbaarheid voor opdrachtinjectie in het besturingssysteem waardoor een niet-geverifieerde aanvaller willekeurige OS-opdrachten als root kan uitvoeren
  • CVE-2024-9464 (CVSS-score: 9,3) – Een kwetsbaarheid voor het injecteren van OS-commando’s waardoor een geverifieerde aanvaller willekeurige OS-commando’s als root kan uitvoeren
  • CVE-2024-9465 (CVSS-score: 9,2) – Een SQL-injectiekwetsbaarheid waarmee een niet-geverifieerde aanvaller de inhoud van de expeditiedatabase kan onthullen
  • CVE-2024-9466 (CVSS-score: 8,2) – Een opslag van gevoelige informatie in leesbare tekst waarmee een geverifieerde aanvaller firewall-gebruikersnamen, wachtwoorden en API-sleutels kan onthullen die zijn gegenereerd met behulp van deze inloggegevens
  • CVE-2024-9467 (CVSS-score: 7,0) – Een gereflecteerde cross-site scripting (XSS)-kwetsbaarheid die de uitvoering van kwaadaardig JavaScript in de context van de browser van een geverifieerde Expeditie-gebruiker mogelijk maakt als die gebruiker op een kwaadaardige link klikt, waardoor phishing-aanvallen mogelijk zijn die naar de Expeditie-browser kunnen leiden sessie diefstal

Het bedrijf heeft Zach Hanley van Horizon3.ai gecrediteerd voor het ontdekken en rapporteren van CVE-2024-9464, CVE-2024-9465 en CVE-2024-9466, en Enrique Castillo van Palo Alto Networks voor CVE-2024-9463, CVE-2024- 9464, CVE-2024-9465 en CVE-2024-9467.

Er is geen bewijs dat de problemen ooit in het wild zijn uitgebuit, hoewel er wel wordt gezegd dat stappen om het probleem te reproduceren zich al in het publieke domein bevinden, met dank aan Horizon3.ai.

Er zijn ongeveer 23 expeditieservers blootgesteld aan internet, waarvan de meeste zich in de VS, België, Duitsland, Nederland en Australië bevinden. Als oplossing wordt aanbevolen om de toegang tot geautoriseerde gebruikers, hosts of netwerken te beperken en de software af te sluiten wanneer deze niet actief wordt gebruikt.

Cisco lost een fout in de Nexus Dashboard Fabric Controller op

Vorige week heeft Cisco ook patches uitgebracht om een ​​kritieke fout bij de uitvoering van opdrachten in de Nexus Dashboard Fabric Controller (NDFC) te verhelpen, die volgens hem voortkomt uit onjuiste gebruikersautorisatie en onvoldoende validatie van opdrachtargumenten.

Bijgehouden als CVE-2024-20432 (CVSS-score: 9,9), zou het een geauthenticeerde, op afstand gelegen aanvaller met weinig rechten in staat kunnen stellen een commando-injectieaanval uit te voeren op een getroffen apparaat. De fout is verholpen in NDFC-versie 12.2.2. Het is vermeldenswaard dat versies 11.5 en eerder niet vatbaar zijn.

“Een aanvaller kan misbruik maken van dit beveiligingslek door zelfgemaakte opdrachten in te dienen bij een getroffen REST API-eindpunt of via de webinterface”, aldus het rapport. “Een succesvolle exploit zou de aanvaller in staat kunnen stellen willekeurige opdrachten uit te voeren op de CLI van een door Cisco NDFC beheerd apparaat met netwerkbeheerdersrechten.”

Thijs Van der Does