Fortinet warnt vor kritischer Schwachstelle in FortiOS SSL VPN
Fortinet hat eine neue kritische Sicherheitslücke in FortiOS SSL VPN öffentlich gemacht. Nach aktuellen Erkenntnissen wird sie bereits von kriminellen Akteuren ausgenutzt. Die Schwachstelle ermöglicht nach Unternehmensangaben die Ausführung von beliebigem Code und Befehlen.
Eine kürzlich veröffentlichte Mitteilung von Fortinet warnt vor einer „Out-of-bounds write“-Schwachstelle [CWE-787] in FortiOS. Diese Schwachstelle ermöglicht es einem entfernten, nicht authentifizierten Angreifer, durch speziell gestaltete HTTP-Anfragen beliebigen Code oder Befehle auszuführen. Das Unternehmen bestätigte auch, dass die Schwachstelle (CVE-2024-21762; CVSS-Score: 9.6) möglicherweise bereits aktiv von Angreifern genutzt wird, ohne jedoch weitere Details darüber preiszugeben, wie und von wem sie ausgenutzt wird.
Von der Sicherheitslücke sind viele früheren Versionen betroffen – ab FortiOS 7.6 gibt es die Schwachstelle nicht mehr. Hier die genaue Liste samt Handlungsempfehlung:
- FortiOS 7.4 (Versionen 7.4.0 bis 7.4.2) – Upgrade auf 7.4.3 oder höher
- FortiOS 7.2 (Versionen 7.2.0 bis 7.2.6) – Aktualisierung auf 7.2.7 oder höher
- FortiOS 7.0 (Versionen 7.0.0 bis 7.0.13) – Upgrade auf 7.0.14 oder höher
- FortiOS 6.4 (Versionen 6.4.0 bis 6.4.14) – Upgrade auf 6.4.15 oder höher
- FortiOS 6.2 (Versionen 6.2.0 bis 6.2.15) – Upgrade auf 6.2.16 oder höher
- FortiOS 6.0 (Versionen 6.0 alle Versionen) – Migration auf eine gepatchte Version
Diese Entwicklung kommt zu einem Zeitpunkt, an dem Fortinet Patches für CVE-2024-23108 und CVE-2024-23109 veröffentlicht hat. Diese Schwachstellen betreffen FortiSIEM Supervisor und ermöglichen es einem entfernten, nicht authentifizierten Angreifer, über manipulierte API-Anfragen unautorisierte Befehle auszuführen.
Die niederländische Regierung hat erst vor kurzem gemeldet, dass ein von den Streitkräften genutztes Computernetzwerk von chinesischen, staatlich unterstützten Akteuren infiltriert wurde. Dabei wurden bekannte Schwachstellen in Fortinet FortiGate-Geräten ausgenutzt, um eine Backdoor namens COATHANGER einzuschleusen.
In einem kürzlich veröffentlichten Bericht gab Fortinet bekannt, dass Sicherheitslücken in seiner Software, darunter CVE-2022-42475 und CVE-2023-27997, von mehreren Aktivitäts-Clustern ausgenutzt werden. Diese Angriffe zielen auf Regierungen, Dienstleistungsanbieter, Beratungsunternehmen, Produktionsbetriebe und große kritische Infrastrukturorganisationen ab.
Frühere Ereignisse haben chinesische Bedrohungsakteure mit der Zero-Day-Ausnutzung von Sicherheitslücken in Fortinet-Appliances in Verbindung gebracht. Dadurch wurden diverse Implantate wie BOLDMOVE, THINCRUST und CASTLETAP verbreitet.
Diese Enthüllung erfolgt im Kontext eines Hinweises der US-Regierung auf eine chinesische nationalstaatliche Gruppe namens Volt Typhoon. Diese Gruppe hat sich zum Ziel gesetzt, kritische Infrastrukturen im Land langfristig unentdeckt anzugreifen. Sie nutzt dafür bekannte und Zero-Day-Schwachstellen in Netzwerk-Appliances verschiedener Hersteller aus, darunter Fortinet, Ivanti Connect Secure, NETGEAR, Citrix und Cisco, um den Erstzugang zu erlangen.
China hat die Anschuldigungen bestritten und seinerseits die USA beschuldigt, eigene Cyberangriffe durchzuführen.
Die jüngsten Kampagnen aus China und Russland verdeutlichen die zunehmende Bedrohung, der Edge-Geräte mit Internetzugang in den letzten Jahren ausgesetzt waren. Diese Technologien bieten oft keine Unterstützung für den Endpunkt-Schutz (EDR), wodurch sie anfällig für Missbrauch werden.
Fortinet kommentierte: „Diese Angriffe zeigen die Verwendung von bereits behobenen N-Day-Schwachstellen und anschließenden ‚living-off-the-land‘-Techniken. Dies deutet stark auf das Verhalten der Cyber-Akteure oder der Gruppe von Akteuren hin, die als Volt Typhoon bekannt sind. Sie nutzen diese Methoden, um kritische Infrastrukturen und potenziell andere benachbarte Akteure anzugreifen.“
Am 9. Februar 2024 hat die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) die Sicherheitslücke CVE-2024-21762 in ihren KEV-Katalog (Known Exploited Vulnerabilities) aufgenommen und darauf hingewiesen, dass sie bereits aktiv ausgenutzt wird.
Die Behörden der zivilen Bundesverwaltung (Federal Civilian Executive Branch, FCEB) wurden angewiesen, die entsprechenden Fixes bis zum 16. Februar 2024 anzuwenden, um ihre Netzwerke vor potenziellen Bedrohungen zu schützen.