Fortinet odhalil novú kritickú bezpečnostnú chybu vo FortiOS SSL VPN, ktorá podľa neho pravdepodobne nekontrolovateľne prebieha.
Zraniteľnosť CVE-2024-21762 (CVSS skóre: 9,6) umožňuje spustenie ľubovoľného kódu a príkazov.
„Chyba pri zápise mimo rozsah [CWE-787] vo FortiOS môže umožniť vzdialenému neoverenému útočníkovi spustiť ľubovoľný kód alebo príkaz prostredníctvom špeciálne vytvorených HTTP požiadaviek,“ uviedla spoločnosť vo vyhlásení uverejnenom vo štvrtok.
Ďalej uznala, že táto chyba „pravdepodobne nekontrolovateľne prebieha“, pričom neposkytla ďalšie špecifikácie o tom, ako je využívaná a kým.
Týmto postihnuté sú nasledujúce verzie. Stojí za zmienku, že FortiOS 7.6 nie je ovplyvnený.
FortiOS 7.4 (verzie 7.4.0 až 7.4.2) – Aktualizujte na verziu 7.4.3 alebo vyššiu verziu
FortiOS 7.2 (verzie 7.2.0 až 7.2.6) – Aktualizujte na verziu 7.2.7 alebo vyššiu verziu
FortiOS 7.0 (verzie 7.0.0 až 7.0.13) – Aktualizujte na verziu 7.0.14 alebo vyššiu verziu
FortiOS 6.4 (verzie 6.4.0 až 6.4.14) – Aktualizujte na verziu 6.4.15 alebo vyššiu verziu
FortiOS 6.2 (verzie 6.2.0 až 6.2.15) – Aktualizujte na verziu 6.2.16 alebo vyššiu verziu
FortiOS 6.0 (verzie 6.0 všetky verzie) – Migrácia na opravenú verziu
Vývoj prichádza v čase, keď spoločnosť Fortinet vydala opravy pre CVE-2024-23108 a CVE-2024-23109. Toto má vplyv na supervízora FortiSIEM a umožňuje vzdialenému neoverenému útočníkovi vykonávať neautorizované príkazy prostredníctvom upravených požiadaviek na API.
Začiatkom tohto týždňa holandská vláda odhalila, že počítačová sieť používaná ozbrojenými silami bola infiltrovaná čínskymi štátom sponzorovanými aktérmi využívajúcimi známe chyby v zariadeniach Fortinet FortiGate na vytvorenie únikových dverí s názvom COATHANGER.
Spoločnosť vo svojej správe odhalila, že N-day bezpečnostné chyby v softvéri, ako napríklad CVE-2022-42475 a CVE-2023-27997, sú využívané viacerými skupinami zacielenými na vlády, poskytovateľov služieb, poradenské firmy, výrobné a veľké organizácie kritickej infraštruktúry.
Predtým boli čínski aktéri hrozieb spájaní s nultým využívaním bezpečnostných chýb v zariadeniach Fortinet na poskytovanie širokej škály implantátov, ako sú BOLDMOVE, THINCRUST a CASTLETAP.
Vyplýva to aj z odporúčania vlády USA o čínskej národnej skupine nazývanej Volt Typhoon, ktorá sa zamerala na kritickú infraštruktúru v krajine na dlhodobú neobjavenú vytrvalosť využívaním známych a nultých nedostatkov v sieťových zariadeniach, ako sú napr. od spoločností Fortinet, Ivanti Connect Secure, NETGEAR, Citrix a Cisco pre počiatočný prístup.
Čína, ktorá tieto obvinenia poprela, obvinila USA z vlastných kybernetických útokov.
Kampane vedené Čínou a Ruskom zdôrazňujú rastúcu hrozbu, ktorej v posledných rokoch čelia okrajové zariadenia s prístupom na internet, pretože takýmto technológiám chýba podpora detekcie a odozvy koncových bodov (EDR), čo ich robí zrelými na zneužitie.
„Tieto útoky demonštrujú používanie už vyriešených N-day slabín a následných techník [living-off-the-land], ktoré sú veľmi charakteristické pre správanie kybernetického aktéra alebo skupiny aktérov známej ako Volt Typhoon, ktorá tieto metódy využíva na cielenie kritickej infraštruktúry a pravdepodobne aj iných susedných aktérov,“ zdôraznila Fortinet.
CISA potvrdzuje využitie CVE-2024-21762#
Americká agentúra pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry (CISA) dňa 9. februára 2024 pridala CVE-2024-21762 do svojho katalógu KEV (Known Exploited Vulnerabilities) s dôkazmi o aktívnom využívaní.
Agentúry vedenia federálnej civilnej exekutívnej vetvy (Federal Civilian Executive Branch – FCEB) boli povinné vykonať opravy do 16. februára 2024, aby zabezpečili svoje siete pred potenciálnymi hrozbami.
Zdroj: The hackers news