Fortinet hat eine neue kritische Sicherheitslücke in FortiOS SSL VPN bekannt gegeben, von der angenommen wird, dass sie bereits aktiv ausgenutzt wird. Die Schwachstelle, CVE-2024-21762 (CVSS-Score: 9,6), ermöglicht die Ausführung beliebigen Codes und Befehlen. In einer am Donnerstag veröffentlichten Mitteilung erklärte das Unternehmen: „Eine Schwachstelle bei der Schreiboperation außerhalb des gültigen Speicherbereichs [CWE-787] in FortiOS könnte es einem entfernten nicht authentifizierten Angreifer ermöglichen, über speziell präparierte HTTP-Anfragen beliebigen Code oder Befehle auszuführen.“ Fortinet bestätigte zudem, dass das Problem „potenziell bereits ausgenutzt wird“, lieferte jedoch keine näheren Angaben dazu, wie es von wem genau ausgenutzt wird.
Folgende Versionen sind von der Schwachstelle betroffen. Es ist zu beachten, dass FortiOS 7.6 nicht betroffen ist:
– FortiOS 7.4 (Versionen 7.4.0 bis 7.4.2) – Aktualisierung auf Version 7.4.3 oder höher
– FortiOS 7.2 (Versionen 7.2.0 bis 7.2.6) – Aktualisierung auf Version 7.2.7 oder höher
– FortiOS 7.0 (Versionen 7.0.0 bis 7.0.13) – Aktualisierung auf Version 7.0.14 oder höher
– FortiOS 6.4 (Versionen 6.4.0 bis 6.4.14) – Aktualisierung auf Version 6.4.15 oder höher
– FortiOS 6.2 (Versionen 6.2.0 bis 6.2.15) – Aktualisierung auf Version 6.2.16 oder höher
– FortiOS 6.0 (alle Versionen) – Migration auf eine behobene Version
Diese Entwicklung erfolgt, nachdem Fortinet Patches für CVE-2024-23108 und CVE-2024-23109 herausgegeben hat, die FortiSIEM Supervisor betreffen und es einem entfernten nicht authentifizierten Angreifer ermöglichen, über speziell präparierte API-Anfragen nicht autorisierte Befehle auszuführen.
In dieser Woche enthüllte die niederländische Regierung, dass das Computernetzwerk der Streitkräfte von chinesischen Staatsakteuren infiltriert wurde, indem bekannte Schwachstellen in Fortinet FortiGate-Geräten ausgenutzt wurden, um eine Hintertür namens COATHANGER zu installieren.
Das Unternehmen enthüllte in einem diese Woche veröffentlichten Bericht, dass N-Day-Sicherheitslücken in seiner Software, wie z.B. CVE-2022-42475 und CVE-2023-27997, von mehreren Aktivitätsclustern ausgenutzt werden, um Regierungen, Dienstleister, Beratungsunternehmen, Hersteller und große Organisationen kritischer Infrastrukturen ins Visier zu nehmen.
Zuvor wurden chinesische Angreifer mit der Ausnutzung von Sicherheitslücken in Fortinet-Geräten in Verbindung gebracht, um verschiedene Implantate wie BOLDMOVE, THINCRUST und CASTLETAP zu installieren.
Dies folgt auch einer Warnung der US-Regierung vor einer chinesischen nation-state Gruppe namens Volt Typhoon, die kritische Infrastrukturen im Land durch die Ausnutzung bekannter und Zero-Day-Schwachstellen in Netzwerkgeräten wie denen von Fortinet, Ivanti Connect Secure, NETGEAR, Citrix und Cisco für den initialen Zugriff ins Visier genommen hat.
China, das die Anschuldigungen zurückgewiesen hat, beschuldigt die USA, ihre eigenen Cyberangriffe durchzuführen.
Die Kampagnen von China und Russland verdeutlichen die wachsende Bedrohung, der internetbasierte Edge-Geräte in den letzten Jahren ausgesetzt sind, da solche Technologien keine Endpoint Detection and Response (EDR) unterstützen und somit leicht missbraucht werden können.
„Diese Angriffe zeigen den Einsatz bereits behobener N-Day-Schwachstellen und anschließender Techniken zur Ausweitung von Rechten, was stark auf das Verhalten der Cyberakteure oder Akteursgruppen hinweist, die als Volt Typhoon bekannt sind und diese Methoden einsetzen, um kritische Infrastrukturen und möglicherweise auch andere angrenzende Akteure ins Visier zu nehmen“, so Fortinet.