Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Valikko

Kriittisiä haavoittuvuuksia Fortinetin FortiOS -ohjelmistossa

Haavoittuvuus8/2024CVSS 9.6CVE-2024-21762 (Ulkoinen linkki)

Fortinet julkaisi useita korjauksia FortiOS-ohjelmiston komponenttien haavoittuvuuksiin. Yhtä haavoittuvuuksista on jo todennäköisesti hyväksikäytetty, joten korjaavat päivitykset on suositeltavaa asentaa viipymättä.

Fortinetin julkaisemat päivitykset korjaavat kriittisiä haavoittuvuuksia FortiOS -ohjelmiston eri komponenteissa. Kriittisiä haavoittuvuuksia CVE-2024-21762 (Ulkoinen linkki) ja CVE-2024-23113 (Ulkoinen linkki) hyväksikäyttämällä hyökkääjä voi suorittaa mielivaltaista koodia etänä sekä ilman tunnistautumista.

Haavoittuvuuden CVE-2024-21762 kohdalla Fortinet huomauttaa, että haavoittuvuutta mahdollisesti hyväksikäytetään jo rikollisten toimesta. Haavoittuvat järjestelmät on suositeltavaa päivittää viipymättä. Haavoittuvuuden CVE-2024-21762 osalta SSL VPN ominaisuuden sulkeminen voi estää haavoittuvuuden hyväksikäytön, mikäli päivittäminen välittömästi ei ole mahdollista.

Samassa yhteydessä julkaistiin päivityksiä myös kahteen muuhun vaikutuksiltaan vähäisempiin haavoittuvuuksiin Fortinetin tuotteissa (CVE-2023-44487 (Ulkoinen linkki) ja CVE-2023-47537 (Ulkoinen linkki)). Haavoittuvat järjestelmät tulisi päivittää mahdollisimman pian.

Haavoittuvuudet koskevat henkilöitä, organisaatioita ja palveluntarjoajia, joilla kyseistä tuotetta on käytössä tai ylläpidossa.

PÄIVITYS 12.2.2024

CISA on havainnut haavoittuvuuden CVE-2024-21762 osalta hyväksikäyttöä maailmalla ja lisännyt haavoittuvuuden KEV:iin (Known Exploited Vulnerabilities Catalog) (Ulkoinen linkki).

Fortinet on päivittänyt aiemmin julkaistuja tiedotteita ja lisännyt haavoittuvuuksille alttiita tuotteita sekä versioita. FortiOS -tuotteen lisäksi myös FortiProxy, FortiPAM sekä FortiSwitchManager tuotteet ovat haavoittuvia. Kriittinen haavoittuvuus CVE-2024-21762 siis koskee FortiOS:n lisäksi myös FortiProxy -järjestelmiä, toinen kriittinen haavoittuvuus CVE-2024-23113 taas koskee FortiOS, FortiPAM, FortiProxy sekä FortiSwitchManager -järjestelmiä. Myös vähemmän kriittisen CVE-2023-44487 haavoittuvuuden osalta FortiProxy on lisätty haavoittuvien järjestelmien listalle.

Kohde

  • Verkon aktiivilaitteet

Hyökkäystapa

  • Etäkäyttö
  • Ilman käyttäjän toimia
  • Ilman kirjautumista

Vaikutukset

  • Palvelunestohyökkäys
  • Komentojen mielivaltainen suorittaminen
  • Suojauksen ohittaminen
  • Käyttövaltuuksien laajentaminen
  • Tietojen muokkaaminen
  • Luottamuksellisen tiedon hankkiminen

Hyväksikäyttömenetelmä tiedossa

  • Rikollisessa käytössä

Ratkaisu

  • Korjaava ohjelmistopäivitys
  • Ongelman rajoittaminen

Haavoittuvat ohjelmistot

Kriittisten haavoittuvuuksien osalta:

CVE-2024-21762

FortiOS 7.4 versiot 7.4.0 - 7.4.2
FortiOS 7.2 versiot 7.2.0 - 7.2.6
FortiOS 7.0 versiot 7.0.0 - 7.0.13
FortiOS 6.4 versiot 6.4.0 - 6.4.14
FortiOS 6.2 versiot 6.2.0 - 6.2.15
FortiOS 6.0 kaikki versiot

FortiProxy 7.4 versiot 7.4.0 - 7.4.2
FortiProxy 7.2 versiot 7.2.0 - 7.2.8
FortiProxy 7.0 versiot 7.0.0 - 7.0.14
FortiProxy 2.0 versiot 2.0.0 - 2.0.13
FortiProxy 1.2 kaikki versiot
FortiProxy 1.1 kaikki versiot
FortiProxy 1.0 kaikki versiot

CVE-2024-23113

FortiOS 7.4 versiot 7.4.0 - 7.4.2
FortiOS 7.2 versiot 7.2.0 - 7.2.6
FortiOS 7.0 versiot 7.0.0 - 7.0.13

FortiPAM 1.2 versio 1.2.0
FortiPAM 1.1 versiot 1.1.0 - 1.1.2
FortiPAM 1.0 kaikki versiot

FortiProxy 7.4 versiot 7.4.0 - 7.4.2
FortiProxy 7.2 versiot 7.2.0 - 7.2.8
FortiProxy 7.0 versiot 7.0.0 - 7.0.14

FortiSwitchManager 7.2 versiot 7.2.0 - 7.2.3
FortiSwitchManager 7.0 versiot 7.0.0 - 7.0.3

Ratkaisu- ja rajoitusmahdollisuudet

Kriittisten haavoittuvuuksien osalta:

CVE-2024-21762

Päivitä FortiOS 7.4 versioon 7.4.3 tai uudempaan
Päivitä FortiOS 7.2 versioon 7.2.7 tai uudempaan
Päivitä FortiOS 7.0 versioon 7.0.14 tai uudempaan
Päivitä FortiOS 6.4 versioon 6.4.15 tai uudempaan
Päivitä FortiOS 6.2 versioon 6.2.16 tai uudempaan
Päivitä FortiOS 6.0 versiosta uudempaan versioon jolle on päivitys tarjolla

Päivitä FortiProxy 7.4 versioon 7.4.3 tai uudempaan
Päivitä FortiProxy 7.2 versioon 7.2.9 tai uudempaan
Päivitä FortiProxy 7.0 versioon 7.0.15 tai uudempaan
Päivitä FortiProxy 2.0 versioon 2.0.14 tai uudempaan
Päivitä FortiProxy 1.2, 1.1 sekä 1.0 versiosta uudempaan versioon jolle on päivitys tarjolla

Tämän haavoittuvuuden osalta SSL VPN ominaisuuden sulkeminen voi estää haavoittuvuuden hyväksikäytön

CVE-2024-23113

Päivitä FortiOS 7.4 versioon 7.4.3 tai uudempaan
Päivitä FortiOS 7.2 versioon 7.2.7 tai uudempaan
Päivitä FortiOS 7.0 versioon 7.0.14 tai uudempaan

Päivitä FortiPAM 1.2 versioon 1.2.1 tai uudempaan
Päivitä FortiPAM 1.1 versioon 1.1.3 tai uudempaan
Päivitä FortiPAM 1.0 versiosta uudempaan versioon jolle on päivitys tarjolla

Päivitä FortiProxy 7.4 versioon 7.4.3 tai uudempaan
Päivitä FortiProxy 7.2 versioon 7.2.9 tai uudempaan
Päivitä FortiProxy 7.0 versioon 7.0.15 tai uudempaan

Päivitä FortiSwitchManager 7.2 versioon 7.2.4 tai uudempaan
Päivitä FortiSwitchManager 7.0 versioon 7.0.4 tai uudempaan

Lisätietoja

Lisätty tieto haavoittuvuuden hyväksikäytöstä sekä Fortinetin lisäämät tiedot haavoittuvista järjestelmistä.