Angreifer haben eine als "kritisch" eingestufte Schwachstelle in zahlreiche Versionen von FortiOS ausgenutzt, teilte die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) mit. Die Lücke mit der Kennung CVE-2024-21762 wurde mit 9,6 auf der bis 10 reichenden Skala eingestuft.
Am Donnerstag hatte Fortinet in einem Advisory die Sicherheitslücke CVE-2024-21762 eingeräumt und erklärt, dass sie "potenziell in freier Wildbahn ausgenutzt" werde. Bereits am Freitag wurde die Sicherheitslücke dann dem CISA-Katalog von Sicherheitslücken hinzugefügt, von denen bekannt ist, dass sie ausgenutzt wurden. "Ein Cyber-Bedrohungsakteur könnte diese Schwachstellen ausnutzen, um die Kontrolle über ein betroffenes System zu übernehmen", erklärte CISA in ihrem Advisory zu CVE-2024-23313.
Security-Anbieter Qualys hält den verfügbaren Exploit-Code für sehr ausgereift und weist darf hin, dass nach erfolgreicher Ausnutzung der Sicherheitslücke ein entfernter, nicht authentifizierter Angreifer über speziell gestaltete HTTP-Anfragen beliebigen Code oder Befehl ausführen könnte. Eine Interaktion mit einem Benutzer sei dazu nicht erforderlich.
Empfehlungen von Fortinet
Fortinet hat bereits Patches für die Lücke veröffentlicht. Die Sicherheitslücke findet sich in FortiOS 7.4, 7.2, 7.0, 6.4, 6.2 und 6.0 sowie FortiProxy 7.4, 7.2,7.0, 2.0, 1.2, 1.1 und 1.0. Systeme mit diesem Software-Stand sollten umgehend auf FortiOS 7.4.3 oder neuer beziehungsweise FortiProxy 7.4.3 oder höher aktualisiert werden. Als vorübergehender Workaround und Sofortmaßnahme ist die Abschaltung von SSL-VPN möglich.
CVE-2024-21762 als Teil eines größeren Problems
Fortinet ist damit innerhalb kurzer Zeit zum zweiten mal negativ in den Schlagzeilen. Anfang Februar wurde bereits bekannt, dass die wahrscheinlich von staatlichen chinesischen Stellen unterstützte Gruppe "Volt Typhoon" Netzwerkgeräte mehrerer US-amerikanischer Anbieter ausnutzt.
Bei Fortinet nannte die CISA als Beispiel einer "bestätigten Kompromittierung", einen Fall, bei dem der Einbruch ins Netzwerk wahrscheinlich durch die Ausnutzung der Lücke CVE-2022-42475 in einer nicht gepatchten FortiGate-300D-Firewall erfolgte. Neben Fortinet hatte "Volt Typhoon" aber auch Produkte von Cisco, Citrix, Netgear und Ivanti Connect Secure (ehemals Pulse Secure) erfolgreich ins Visier genommen.