Pinewood Security Bulletin – Multiple vulnerabilities fixed in Fortinet products
For English, see below.
Beschrijving
Op dinsdag 7 maart 2023 heeft Fortinet bekend gemaakt dat er meerdere kwetsbaarheden zijn oplost in verschillende producten, waaronder FortiOS. De ernstigste kwetsbaarheid met een CVSS score van 9.3 (‘Kritiek’) bevindt zich in FortiOS en FortiProxy. Het gaat om een “Heap buffer underflow” kwetsbaarheid in de management webinterface (FG-IR-23-001).
De FG-IR-23-001 kwetsbaarheid maakt het in uitzonderlijke gevallen mogelijk om het systeem over te nemen (“remote code execution”), maar is in meerdere producten beperkt tot een Denial-of-Service (DoS) aanval. Fortinet heeft in de PSIRT melding een overzicht gegeven van systemen waarop uitsluitend de Denial-of-Service variant te gebruiken is. Deze systemen zijn kunnen dus niet over te nemen via deze kwetsbaarheid.
Voor zover op dit moment bekend is bij Fortinet, zijn er geen gevallen bekend van actief misbruik van de FG-IR-23-001 kwetsbaarheid.
In de bekendmaking van 7 maart is aangegeven dat de volgende kwetsbaarheden zijn opgelost:
- FG-IR-23-001 (CVSS 9.3): FortiOS / FortiProxy – Heap buffer underflow in administrative interface
- FG-IR-22-401 (CVSS 7.8): FortiOS / FortiProxy – Path traversal vulnerability allows VDOM escaping
- FG-IR-22-309 (CVSS 7.8): FortiNAC – Multiple privilege escalation via sudo command
- FG-IR-23-050 (CVSS 7.5): FortiSOAR – Improper Authorization in request headers
- FG-IR-22-254 (CVSS 7.2): FortiWeb – command injection in webserver
- FG-IR-22-281 (CVSS 7.1): FortiNAC – Multiple Reflected XSS
- FG-IR-22-388 (CVSS 6.8): FortiRecorder – DoS in login authentication mechanism
- FG-IR-22-369 (CVSS 6.5): FortiOS – Path traversal in execute command
- FG-IR-22-477 (CVSS 6.4): FortiOS & FortiProxy – Access of NULL pointer in SSLVPNd
- FG-IR-22-364 (CVSS 5.2): FortiOS / FortiProxy – Unauthenticated access to static files containing logging information
- FG-IR-21-218 (CVSS 5.2): FortiWeb and FortiRecorder – Arbitrary file read through command line pipe
- FG-IR-18-232 (CVSS 5.1): FortiManager, FortiAnalyzer, FortiPortal & FortiSwitch – Information disclosure through diagnose debug commands
- FG-IR-22-447 (CVSS 4.6): FortiAnalyzer — the log-fetch client request password is shown in clear text in the heartbeat response
- FG-IR-22-488 (CVSS 4.0): FortiAnalyzer – CSV injection in macro name
- FG-IR-20-078 (CVSS 3.5): FortiAuthenticator, FortiDeceptor & FortiMail – Improper restriction over excessive authentication attempts
De rest van deze security bulletin beschrijft de FG-IR-23-001 kwetsbaarheid. Zie de PSIRT meldingen van Fortinet voor meer informatie over de andere kwetsbaarheden. Onder ‘Meer informatie’ is een link te vinden naar de website.
Kwetsbare versies
Onderstaande lijst met software en versienummers is kwetsbaar voor FG-IR-23-001 wanneer er toegang is tot de management webinterface (GUI):
- FortiOS 7.2.0 – 7.2.3
- FortiOS 7.0.0 – 7.0.9
- FortiOS 6.4.0 – 6.4.11
- FortiOS 6.2.0 – 6.2.12
- FortiOS 6.0 (alle versies)
- FortiProxy 7.2.0 – 7.2.2
- FortiProxy 7.0.0 – 7.0.8
- FortiProxy 2.0.0 – 2.0.11
- FortiProxy 1.2 (alle versies)
- FortiProxy 1.1 (alle versies)
Oplossingen en tijdelijke mitigaties
Fortinet adviseert om de volgende versie (of hoger) te installeren om kwetsbaarheid FG-IR-23-001 te verhelpen:
- FortiOS 7.2.4
- FortiOS 7.0.10
- FortiOS 6.4.12
- FortiOS 6.2.13
- FortiProxy 7.2.3
- FortiProxy 7.0.9
- FortiProxy 2.0.12
- FortiOS-6K7K 7.0.10
- FortiOS-6K7K 6.4.12
- FortiOS-6K7K 6.2.13
Let op dat FortiOS 6.0, FortiProxy 1.1 en FortiProxy 1.2 niet langer ondersteund zijn.
Als een update niet mogelijk is, dan kunnen de volgende tijdelijke mitigerende maatregelen genomen worden:
- Schakel de HTTP(S) management interface uit
- Beperk de interface waarop de HTTP(S) management interface actief is
- Beperk toegang tot de HTTP(S) management interfaces door middel van Local In policies. De Local In rulebase wordt standaard niet weergegeven in de GUI, dit kan aangezet worden onder System -> Feature Visibility.
- Stel voor alle admin users trusted hosts in
Meer informatie
Managed Security Services (MSS) klanten
Als u een Pinewood Managed Security Services contract heeft is er geen actie nodig. Pinewood neemt de benodigde maatregelen om uw omgeving te beschermen tegen deze kwetsbaarheden.
Vragen
Voor vragen over deze security bulletin kunt u contact opnemen met de Pinewood Servicedesk. De servicedesk is bereikbaar via +31 15 251 36 33 en via support@pinewood.nl.
===== ENGLISH =====
Description
On Tuesday 7 March 2023, Fortinet announced that multiple vulnerabilities have been resolved in various products, including FortiOS. The most serious vulnerability with a CVSS score of 9.3 (‘Critical’) is in FortiOS and FortiProxy. It concerns a “Heap buffer underflow” vulnerability in the management web interface (FG-IR-23-001).
The FG-IR-23-001 vulnerability makes it possible in exceptional cases to take over the system (“remote code execution”), but is limited to a denial-of-service (DoS) attack in several products. In the PSIRT notification, Fortinet listed systems on which only the Denial-of-Service variant can be used. These systems can therefore not be taken over via this vulnerability.
As far as Fortinet is currently aware, there are no known cases of active misuse of the FG-IR-23-001 vulnerability.
The 7 March announcement stated that the following vulnerabilities have been resolved:
- FG-IR-23-001 (CVSS 9.3): FortiOS / FortiProxy – Heap buffer underflow in administrative interface
- FG-IR-22-401 (CVSS 7.8): FortiOS / FortiProxy – Path traversal vulnerability allows VDOM escaping
- FG-IR-22-309 (CVSS 7.8): FortiNAC – Multiple privilege escalation via sudo command
- FG-IR-23-050 (CVSS 7.5): FortiSOAR – Improper Authorization in request headers
- FG-IR-22-254 (CVSS 7.2): FortiWeb – command injection in webserver
- FG-IR-22-281 (CVSS 7.1): FortiNAC – Multiple Reflected XSS
- FG-IR-22-388 (CVSS 6.8): FortiRecorder – DoS in login authentication mechanism
- FG-IR-22-369 (CVSS 6.5): FortiOS – Path traversal in execute command
- FG-IR-22-477 (CVSS 6.4): FortiOS & FortiProxy – Access of NULL pointer in SSLVPNd
- FG-IR-22-364 (CVSS 5.2): FortiOS / FortiProxy – Unauthenticated access to static files containing logging information
- FG-IR-21-218 (CVSS 5.2): FortiWeb and FortiRecorder – Arbitrary file read through command line pipe
- FG-IR-18-232 (CVSS 5.1): FortiManager, FortiAnalyzer, FortiPortal & FortiSwitch – Information disclosure through diagnose debug commands
- FG-IR-22-447 (CVSS 4.6): FortiAnalyzer — the log-fetch client request password is shown in clear text in the heartbeat response
- FG-IR-22-488 (CVSS 4.0): FortiAnalyzer – CSV injection in macro name
- FG-IR-20-078 (CVSS 3.5): FortiAuthenticator, FortiDeceptor & FortiMail – Improper restriction over excessive authentication attempts
Vulnerable versions
The following list of software and version numbers is vulnerable to FG-IR-23-001 when the management web interface (GUI) is accessible:
- FortiOS 7.2.0 – 7.2.3
- FortiOS 7.0.0 – 7.0.9
- FortiOS 6.4.0 – 6.4.11
- FortiOS 6.2.0 – 6.2.12
- FortiOS 6.0 (all versions)
- FortiProxy 7.2.0 – 7.2.2
- FortiProxy 7.0.0 – 7.0.8
- FortiProxy 2.0.0 – 2.0.11
- FortiProxy 1.2 (all versions)
- FortiProxy 1.1 (all versions)
Solutions and workarounds
Fortinet recommends installing the following version (or later) to resolve the FG-IR-23-001 vulnerability:
- FortiOS 7.2.4
- FortiOS 7.0.10
- FortiOS 6.4.12
- FortiOS 6.2.13
- FortiProxy 7.2.3
- FortiProxy 7.0.9
- FortiProxy 2.0.12
- FortiOS-6K7K 7.0.10
- FortiOS-6K7K 6.4.12
- FortiOS-6K7K 6.2.13
Please note that FortiOS 6.0, FortiProxy 1.1 and FortiProxy 1.2 are no longer supported.
If an update is not possible, the following temporary mitigation measures can be taken:
- Disable the HTTP(S) management interface
- Restrict the interface on which the HTTP(S) management interface is active
- Restrict access to the HTTP(S) management interfaces using Local In policies. By default, the Local In rulebase is not displayed in the GUI, this can be enabled under System -> Feature Visibility.
- Set trusted hosts for all admin users
More information
Managed Security Services (MSS) customers
If you have a Pinewood Managed Security Services contract, no action is required. Pinewood takes the necessary measures to protect your environment from these vulnerabilities.
Questions
For questions about this security bulletin, please contact the Pinewood Service desk. The service desk can be contacted at +31 15 251 36 33 and via support@pinewood.nl. |