Blog:

De geschiedenis van 30 jaar cybersecurity

Lees verder

Pinewood Security Bulletin – Potential critical SSL-VPN vulnerability in Fortinet devices

Pinewood Security Bulletin – Potential critical SSL-VPN vulnerability in Fortinet devices

For English, see below.

Beschrijving

Volgens diverse bronnen zijn Fortigate-devices kwetsbaar voor een kritieke pre-authenticatie Remote Code Execution (RCE) kwetsbaarheid in de SSL VPN-functionaliteit. Misbruik van deze kwetsbaarheid stelt een aanvaller in staat willekeurige code uit te voeren op getroffen SSL VPN-apparaten zonder voorafgaande authenticatie. De kwetsbaarheid vormt een aanzienlijk risico, zeker ook omdat een eerdere – vergelijkbare – kwetsbaarheid actief misbruikt werd door kwaadwillenden.

Let op: Op het moment van publicatie van dit bulletin heeft Fortinet nog geen gedetailleerde informatie vrijgegeven met betrekking tot CVE-2023-27997. De specifieke details en impact van de kwetsbaarheid zoals beschreven in externe bronnen moeten nog worden bevestigd. Er wordt verwacht dat Fortinet binnenkort aanvullende informatie zal vrijgeven.

Kwetsbare versies

De volgende versies van FortiOS-firmware zijn naar verwachting kwetsbaar:

  • FortiOS firmware-versies 6.0.16 en eerder
  • FortiOS firmware-versies 6.2.14 en eerder
  • FortiOS firmware-versies 6.4.12 en eerder
  • FortiOS firmware-versies 7.0.11 en eerder
  • FortiOS firmware-versies 7.2.4 en eerder

Oplossingen en tijdelijke mitigaties

Fortinet heeft op vrijdag 9 juni 2023 nieuwe firmware-versies uitgebracht die deze kwetsbaarheid vermoedelijk verhelpen. Het betreft onderstaande firmware-versies:

  • FortiOS firmware versie 6.0.17
  • FortiOS firmware versie 6.2.15
  • FortiOS firmware versie 6.4.13
  • FortiOS firmware versie 7.0.12
  • FortiOS firmware versie 7.2.5

Pinewood raadt aan bovenstaande versies van FortiOS z.s.m. uit te rollen op kwetsbare devices, zeker indien op deze devices de SSL-VPN-functionaliteit is ingeschakeld.

Detectie van mogelijk misbruik

Op het moment van schrijven zijn er nog geen gevallen van actief misbruik bekend. De verwachting is echter dat malafide actoren op korte termijn een expoit voor de kwetsbaarheid zullen ontwikkelen waarop grootschalig misbruik mogelijk wordt.

Vermoedelijk zal een Fortinet-device een crash registreren op het moment dat succesvol misbruik van de kwetsbaarheid plaatsvindt. Het is daarom verstandig om de Fortinet-logging te controleren op de aanwezigheid van een melding zoals hieronder:

logdesc=”Application crashed” and msg=”[…] application:sslvpnd,[…], Signal 11 received, Backtrace: […]”

Wees ervan bewust dat een logregel zoals hierboven kan duiden op succesvol misbruik, maar niet per definitie hoeft te betekenen dat er succesvol misbruik heeft plaatsgevonden.

Het Pinewood SOC SOC (Security Operations Center) monitoort de aangesloten Fortinet-devices van klanten op de aanwezigheid van betreffende logregel.

Meer informatie

http://olympecyberdefense.fr/1193-2/

https://www.ncsc.nl/actueel/advisory?id=NCSC-2023-0282

Managed Security Services (MSS) klanten

Als u een Pinewood Managed Security Services contract heeft is er geen actie nodig. Pinewood neemt de benodigde maatregelen om uw omgeving te beschermen tegen deze kwetsbaarheden.

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met de Pinewood Servicedesk. De servicedesk is bereikbaar via +31 15 251 36 33 en via support@pinewood.nl.

===== ENGLISH =====

Description

According to various sources, Fortigate devices are vulnerable to a critical pre-authentication Remote Code Execution (RCE) vulnerability in the SSL VPN functionality. Exploiting this vulnerability allows an attacker to execute arbitrary code on affected SSL VPN devices without prior authentication. The vulnerability poses a significant risk, especially considering that a previous similar vulnerability was actively exploited by malicious actors.

Please note: At the time of publishing this bulletin, Fortinet has not yet released detailed information regarding CVE-2023-27997. The specific details and impact of the vulnerability as described in external sources are yet to be confirmed. It is expected that Fortinet will release additional information soon.

Vulnerable versions

The following versions of FortiOS firmware are expected to be vulnerable:

  • FortiOS firmware versions 6.0.16 and earlier
  • FortiOS firmware versions 6.2.14 and earlier
  • FortiOS firmware versions 6.4.12 and earlier
  • FortiOS firmware versions 7.0.11 and earlier
  • FortiOS firmware versions 7.2.4 and earlier

Solutions and workarounds

Fortinet released new firmware versions on Friday, June 9, 2023, which are expected to address this vulnerability. The following firmware versions are involved:

  • FortiOS firmware version 6.0.17
  • FortiOS firmware version 6.2.15
  • FortiOS firmware version 6.4.13
  • FortiOS firmware version 7.0.12
  • FortiOS firmware version 7.2.5

Pinewood recommends deploying the above versions of FortiOS as soon as possible on vulnerable devices, especially if the SSL-VPN functionality is enabled on these devices.

Detection of possible misuse

At the time of writing, there are no known cases of active exploitation. However, it is expected that malicious actors will develop an exploit for the vulnerability in the near future, enabling widespread abuse.=

When successful exploitation of the vulnerability occurs, a Fortinet device is likely to register a crash. Therefore, it is advisable to check the Fortinet logs for the presence of a notification similar to the following:

logdesc=”Application crashed” and msg=”[…] application:sslvpnd,[…], Signal 11 received, Backtrace: […]”

Please be aware that a log entry like the one above may indicate successful exploitation but does not necessarily mean that exploitation has occurred.

Pinewood’s SOC (Security Operations Center) monitors the connected Fortinet devices of its customers for the presence of the mentioned log entry.

More information

http://olympecyberdefense.fr/1193-2/

https://www.ncsc.nl/actueel/advisory?id=NCSC-2023-0282

Managed Security Services (MSS) customers

If you have a Pinewood Managed Security Services contract, no action is required. Pinewood takes the necessary measures to protect your environment from these vulnerabilities.

Questions

For questions about this security bulletin, please contact the Pinewood Service desk. The service desk can be contacted at +31 15 251 36 33 and via support@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl