Kriittisiä haavoittuvuuksia Fortinetin FortiOS -ohjelmistossa

Fortinet julkaisi useita korjauksia FortiOS-ohjelmiston komponenttien haavoittuvuuksiin. Yhtä haavoittuvuuksista on jo todennäköisesti hyväksikäytetty, joten korjaavat päivitykset on suositeltavaa asentaa viipymättä.

Fortinetin julkaisemat päivitykset korjaavat kriittisiä haavoittuvuuksia FortiOS -ohjelmiston eri komponenteissa. Kriittisiä haavoittuvuuksia CVE-2024-21762 ja CVE-2024-23113 hyväksikäyttämällä hyökkääjä voi suorittaa mielivaltaista koodia etänä sekä ilman tunnistautumista.

Haavoittuvuuden CVE-2024-21762 kohdalla Fortinet huomauttaa, että haavoittuvuutta mahdollisesti hyväksikäytetään jo rikollisten toimesta. Haavoittuvat järjestelmät on suositeltavaa päivittää viipymättä. Haavoittuvuuden CVE-2024-21762 osalta SSL VPN ominaisuuden sulkeminen voi estää haavoittuvuuden hyväksikäytön, mikäli päivittäminen välittömästi ei ole mahdollista.

Samassa yhteydessä julkaistiin päivityksiä myös kahteen muuhun vaikutuksiltaan vähäisempiin haavoittuvuuksiin Fortinetin tuotteissa (CVE-2023-44487 ja CVE-2023-47537). Haavoittuvat järjestelmät tulisi päivittää mahdollisimman pian.

Haavoittuvuudet koskevat henkilöitä, organisaatioita ja palveluntarjoajia, joilla kyseistä tuotetta on käytössä tai ylläpidossa.

PÄIVITYS 12.2.2024

CISA on havainnut haavoittuvuuden CVE-2024-21762 osalta hyväksikäyttöä maailmalla ja lisännyt haavoittuvuuden KEV:iin (Known Exploited Vulnerabilities Catalog).

Fortinet on päivittänyt aiemmin julkaistuja tiedotteita ja lisännyt haavoittuvuuksille alttiita tuotteita sekä versioita. FortiOS -tuotteen lisäksi myös FortiProxy, FortiPAM sekä FortiSwitchManager tuotteet ovat haavoittuvia. Kriittinen haavoittuvuus CVE-2024-21762 siis koskee FortiOS:n lisäksi myös FortiProxy -järjestelmiä, toinen kriittinen haavoittuvuus CVE-2024-23113 taas koskee FortiOS, FortiPAM, FortiProxy sekä FortiSwitchManager -järjestelmiä. Myös vähemmän kriittisen CVE-2023-44487 haavoittuvuuden osalta FortiProxy on lisätty haavoittuvien järjestelmien listalle.

Haavoittuvuuden kohde

Kriittisten haavoittuvuuksien osalta:

CVE-2024-21762

FortiOS 7.4 versiot 7.4.0 - 7.4.2
FortiOS 7.2 versiot 7.2.0 - 7.2.6
FortiOS 7.0 versiot 7.0.0 - 7.0.13
FortiOS 6.4 versiot 6.4.0 - 6.4.14
FortiOS 6.2 versiot 6.2.0 - 6.2.15
FortiOS 6.0 kaikki versiot

FortiProxy 7.4 versiot 7.4.0 - 7.4.2
FortiProxy 7.2 versiot 7.2.0 - 7.2.8
FortiProxy 7.0 versiot 7.0.0 - 7.0.14
FortiProxy 2.0 versiot 2.0.0 - 2.0.13
FortiProxy 1.2 kaikki versiot
FortiProxy 1.1 kaikki versiot
FortiProxy 1.0 kaikki versiot

CVE-2024-23113

FortiOS 7.4 versiot 7.4.0 - 7.4.2
FortiOS 7.2 versiot 7.2.0 - 7.2.6
FortiOS 7.0 versiot 7.0.0 - 7.0.13

FortiPAM 1.2 versio 1.2.0
FortiPAM 1.1 versiot 1.1.0 - 1.1.2
FortiPAM 1.0 kaikki versiot

FortiProxy 7.4 versiot 7.4.0 - 7.4.2
FortiProxy 7.2 versiot 7.2.0 - 7.2.8
FortiProxy 7.0 versiot 7.0.0 - 7.0.14

FortiSwitchManager 7.2 versiot 7.2.0 - 7.2.3
FortiSwitchManager 7.0 versiot 7.0.0 - 7.0.3

Mistä on kysymys?

Kriittisten haavoittuvuuksien osalta:

CVE-2024-21762

Päivitä FortiOS 7.4 versioon 7.4.3 tai uudempaan
Päivitä FortiOS 7.2 versioon 7.2.7 tai uudempaan
Päivitä FortiOS 7.0 versioon 7.0.14 tai uudempaan
Päivitä FortiOS 6.4 versioon 6.4.15 tai uudempaan
Päivitä FortiOS 6.2 versioon 6.2.16 tai uudempaan
Päivitä FortiOS 6.0 versiosta uudempaan versioon jolle on päivitys tarjolla

Päivitä FortiProxy 7.4 versioon 7.4.3 tai uudempaan
Päivitä FortiProxy 7.2 versioon 7.2.9 tai uudempaan
Päivitä FortiProxy 7.0 versioon 7.0.15 tai uudempaan
Päivitä FortiProxy 2.0 versioon 2.0.14 tai uudempaan
Päivitä FortiProxy 1.2, 1.1 sekä 1.0 versiosta uudempaan versioon jolle on päivitys tarjolla

Tämän haavoittuvuuden osalta SSL VPN ominaisuuden sulkeminen voi estää haavoittuvuuden hyväksikäytön

CVE-2024-23113

Päivitä FortiOS 7.4 versioon 7.4.3 tai uudempaan
Päivitä FortiOS 7.2 versioon 7.2.7 tai uudempaan
Päivitä FortiOS 7.0 versioon 7.0.14 tai uudempaan

Päivitä FortiPAM 1.2 versioon 1.2.1 tai uudempaan
Päivitä FortiPAM 1.1 versioon 1.1.3 tai uudempaan
Päivitä FortiPAM 1.0 versiosta uudempaan versioon jolle on päivitys tarjolla

Päivitä FortiProxy 7.4 versioon 7.4.3 tai uudempaan
Päivitä FortiProxy 7.2 versioon 7.2.9 tai uudempaan
Päivitä FortiProxy 7.0 versioon 7.0.15 tai uudempaan

Päivitä FortiSwitchManager 7.2 versioon 7.2.4 tai uudempaan
Päivitä FortiSwitchManager 7.0 versioon 7.0.4 tai uudempaan

Mitä voin tehdä?

CVE-2024-21762 (CVSS 9.6)

CVE-2024-23113 (CVSS 9.8)

CVE-2023-44487 (CVSS 5.3)

CVE-2023-47537 (CVSS 4.4)

Verkon aktiivilaitteet

Verkon aktiivilaitteilla tarkoitetaan sellaisia laitteita, jotka ovat yleensä tavallisen käyttäjän näkymättömissä, kuten esimerkiksi reitittimet, kytkimet ja palomuurit. Nämä laitteet ja niiden ohjelmistot välittävät tai suodattavat verkkoliikennettä.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Ilman käyttäjän toimia

Ilman käyttäjän toimia tapahtuva hyökkäys kohdistuu suoraan haavoittuvuuteen ilman että järjestelmän käyttäjältä vaaditaan mitään toimia hyökkäyksen onnistumiseksi. Käyttäjän ei esimerkiksi tarvitse selailla www-sivuja tai käynnistää ohjelmaa tietokoneessa, vaan hyökkäys onnistuu ilman käyttäjän apua.

Ilman kirjautumista

Hyökkäys ei vaadi kohteena olevaan järjestelmään kirjautumista. Vastakohtana ovat sellaiset hyökkäykset, jotka vaativat käyttäjätunnuksen ja salasanan käyttöä ja esimerkiksi komentojen suorittamista järjestelmään kirjautuneena.

Palvelunestohyökkäys

Palvelunestohyökkäyksen tarkoituksena on estää kohdejärjestelmää toimimasta siinä tehtävässä mihin se on tarkoitettu. Hyökkäyksen tarkoituksena voi olla esimerkiksi www- tai sähköpostipalvelimen kuormittaminen runsaalla verkkoliikenteellä.

Komentojen mielivaltainen suorittaminen

Komentojen mielivaltaisen suorittamisen mahdollistavaa haavoittuvuutta on pidettävä vakavana, sillä se tarkoittaa sitä, että hyväksikäyttäjä voi käyttää kohteena olevaa järjestelmää aivan kuin sen tavallinen käyttäjäkin. Se voi johtaa myös siihen, että järjestelmään murtautunut hyökkääjä voi ladata verkon kautta järjestelmään omia ohjelmiaan suoritettavaksi.

Suojauksen ohittaminen

Suojauksen ohittamisella tarkoitetaan sitä, että haavoittuvuutta hyväksikäyttämällä ohitetaan järjestelmän käytön rajoittamiseksi tehty suojaus esimerkiksi liikennöimällä palomuurin ohi suojattuun verkkoon.

Käyttövaltuuksien laajentaminen

Käyttövaltuuksien laajentaminen mahdollistaa järjestelmän käyttämisen esimerkiksi pääkäyttäjänä, tavallista käyttäjää laajemmin valtuuksin.

Tietojen muokkaaminen

Järjestelmään talletettujen tietojen muokkaaminen ei välttämättä edellytä komentojen suorittamista, käyttövaltuuksien laajentamista tai järjestelmään kirjautumista. Esimerkiksi käyttämällä hyväksi www-palvelinohjelmiston haavoittuvuutta voi hyökkääjä luvatta muuttaa palvelimella näkyvien verkkosivujen sisältöä.

Luottamuksellisen tiedon hankkiminen

Luottamuksellisten tietojen hankkiminen kohdejärjestelmästä edellyttää sitä, että sen tietosisältöä, esimerkiksi kiintolevylle talletettuja tiedostoja, pääsee lukemaan luvatta ja välittämään edelleen.

Rikollisessa käytössä

Haavoittuvuus on rikollisessa käytössä.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.

Ongelman rajoittaminen

Vaikka varsinaista korjausta haavoittuvuuteen ei aina ole saatavilla, sen vaikutuksia voidaan useimmiten rajoittaa esimerkiksi pidättäytymällä tilapäisesti jonkin ominaisuuden käytöstä tai rajoittamalla verkkoliikennettä kohdejärjestelmään sopivasti.