Deze liveblog bevat informatie over de Fortinet RCE Kwetsbaarheid. Zodra we een update hebben voegen we die aan deze blog toe. Meer informatie over mogelijke risico’s en details worden onderaan deze blog geplaatst. Laatste update op 14 maart 2023.
Update 14 maart 2023
Op 7 maart 2023 publiceerde Fortinet een Advisory waarin CVE-2022-41328 wordt beschreven. Deze kwetsbaarheid is een improper limitation of a pathname to a restricted directory, ook wel bekend als path traversal. Door het uitbuiten van deze kwetsbaarheid kan een geautoriseerde aanvaller bestanden lezen en bestanden aanmaken via de CLI.
Onbekende aanvallers misbruiken mogelijk CVE-2022-42475 of CVE-2023-25610 om de juiste rechten te krijgen die nodig zijn om CVE-2022-41328 te misbruiken. De kwetsbaarheid bekend als CVE-2022-41328 werd deze maand gebruikt bij gerichte aanvallen op overheden en grote organisaties die hebben geleid tot corruptie van het besturingssysteem, bestanden en gegevensverlies.
De kwetsbaarheid bestaat in de volgende producten:
- FortiOS versie 7.2.0 tot en met 7.2.3
- FortiOS versie 7.0.0 tot en met 7.0.9
- FortiOS versie 6.4.0 tot en met 6.4.11
- FortiOS 6.2 alle versies
- FortiOS 6.0 alle versies
Fortinet heeft patches gepubliceerd om de kwetsbaarheid te verhelpen. Het wordt aangeraden om deze patches te installeren.
- Upgrade naar FortiOS versie 7.2.4 of hoger
- Upgrade naar FortiOS versie 7.0.10 of hoger
- Upgrade naar FortiOS versie 6.4.12 of hoger
Fortinet heeft een analyse van het incident gepubliceerd inclusief IoC’s die tijdens hun lopende analyse zijn vastgesteld. Het is aanbevolen de systemen te controleren op de aanwezigheid van de volgende indicators of compromise:
Systeem/Logs
- String “execute wireless-controller hs20-icon upload-icon”
- String “User FortiManager_Access via fgfmd upload and run script”
Netwerk
- 47.252.20.90
Bestandhashes
- Auth – b6e92149efaf78e9ce7552297505b9d5
- Klogd – 53a69adac914808eced2bf8155a7512d
- Support – 9ce2459168cf4b5af494776a70e0feda
- Smit – e3f342c212bb8a0a56f63490bf00ca0c
- Localnet – 88711ebc99e1390f1ce2f42a6de0654d
- Urls.py – 64bdf7a631bc76b01b985f1d46b35ea6
- Views.py – 3e43511c4f7f551290292394c4e21de7
- Fgfm – e2d2884869f48f40b32fb27cc3bdefff
Oproep tot actie
- Bepaal of uw Fortinet-product(en) kwetsbaar is/zijn;
- Installeer de beschikbare patches;
- Analyseer de logbestanden van de apparaten op indicators of compromise;
- Analyseer de logbestanden van andere beveiligingsoplossingen op indicators of compromise;
- Neem contact op met Fortinet Customer Support, Tesorion-SOC of Tesorion-CERT als er aanwijzingen van uitbuiting worden gevonden of wanneer ondersteuning gewenst is.
Als er verdachte of kwaadaardige activiteiten worden waargenomen in verband met dit artikel, neem dan contact op met T-CERT. Het Tesorion Computer Emergency Response Team biedt 24/7 specialistische ondersteuning. In noodgevallen voeren we onmiddellijk een eerste telefonische beoordeling uit en doen we er alles aan om de situatie zo snel mogelijk onder controle te krijgen.
Aanleiding en achtergrond van deze blog
Deze blog bevat informatie over kwetsbaarheden, het mogelijke risico en advies om schade te voorkomen of beperken. Onderstaand staan de mogelijke risico’s, details en achtergrondinformatie.
Kwetsbaarheid informatie
Op 7 maart 2023 publiceerde Fortinet een Security advisory waarin CVE-2023-25610 wordt beschreven. Deze kwetsbaarheid is een heap buffer underflow in de FortiProxy administratieve interface waardoor een niet-geautoriseerde aanvaller willekeurige code kan uitvoeren en/of een DoS kan uitvoeren op de GUI.
Op dit moment is er geen indicatie dat de kwetsbaarheden worden uitgebuit. Fortinet heeft patches gepubliceerd om de kwetsbaarheid te verhelpen. Het wordt aangeraden om deze patches te installeren.
Mogelijke risico’s
CVE-2023-25610 stelt een niet-geautoriseerde aanvaller in staat om willekeurige code uit te voeren en/of een Dos uit te voeren op de GUI. De kwetsbaarheid heeft een CVSSv3-score van 9,3. De CVSS-schaal loopt van 0 tot 10. Een score van 9,3 of hoger is zeldzaam en impliceert een hoog risico op uitbuiting met een grote impact.
Op dit moment is er geen indicatie dat de kwetsbaarheden worden uitgebuit.
Detail informatie
De kwetsbaarheid bestaat in de volgende producten:
- FortiOS versie 7.2.0 tot en met 7.2.3
- FortiOS versie 7.0.0 tot en met 7.0.9
- FortiOS versie 6.4.0 tot en met 6.4.11
- FortiOS versie 6.2.0 t/m 6.2.12
- FortiOS 6.0 alle versies
- FortiProxy versie 7.2.0 tot en met 7.2.2
- FortiProxy versie 7.0.0 tot en met 7.0.8
- FortiProxy versie 2.0.0 tot en met 2.0.12
- FortiProxy 1.2 alle versies
- FortiProxy 1.1 alle versies
Fortinet heeft updates gepubliceerd die de kwetsbaarheid verhelpen. Het wordt sterk aangeraden om zo snel mogelijk te upgraden.
- FortiOS versie 7.4.0 of hoger
- FortiOS versie 7.2.4 of hoger
- FortiOS versie 7.0.10 of hoger
- FortiOS versie 6.4.12 of hoger
- FortiOS versie 6.2.13 of hoger
- FortiProxy versie 7.2.3 of hoger
- FortiProxy versie 7.0.9 of hoger
- FortiProxy versie 2.0.12 of hoger
- FortiOS-6K7K versie 7.0.10 of hoger
- FortiOS-6K7K versie 6.4.12 of hoger
- FortiOS-6K7K versie 6.2.13 of hoger
Vijftig in de security advisory genoemde modellen zijn niet kwetsbaar voor het arbitrary code execution onderdeel van de kwetsbaarheid, maar alleen het DoS-onderdeel, ook al draaien ze de kwetsbare FortiOS-versie. De lijst van vijftig modellen is te vinden in de security advisory: https://www.fortiguard.com/psirt/FG-IR-23-001
Bronnen
Meer informatie:
- Fortinet PSIRT Advisory: https://www.fortiguard.com/psirt/FG-IR-23-001
- NCSC-advies: https://www.ncsc.nl/actueel/advisory?id=NCSC-2023-0117
- Fortinet PSIRT Advisory: https://www.fortiguard.com/psirt/FG-IR-22-369
- Fortinet analyse van FG-IR-22-369 https://www.fortinet.com/blog/psirt-blogs/fg-ir-22-369-psirt-analysis
Aanmelden
Wilt u tijdig geïnformeerd worden? Schrijf u dan in voor onze technische updates
Wilt u de kritieke kwetsbaarheden voortaan ook per e-mail ontvangen? Abonneer u dan op de nieuwbrief.
Tesorion gebruikt uw gegevens voor het versturen van de gevraagde informatie en mogelijk telefonisch contact. U kunt zich op elk gewenst moment afmelden. Lees voor meer informatie ons privacybeleid.