Pinewood Security Bulletin – Potential critical SSL-VPN vulnerability in Fortinet devices
For English, see below. BeschrijvingVolgens diverse bronnen zijn Fortigate-devices kwetsbaar voor een kritieke pre-authenticatie Remote Code Execution (RCE) kwetsbaarheid in de SSL VPN-functionaliteit. Misbruik van deze kwetsbaarheid stelt een aanvaller in staat willekeurige code uit te voeren op getroffen SSL VPN-apparaten zonder voorafgaande authenticatie. De kwetsbaarheid vormt een aanzienlijk risico, zeker ook omdat een eerdere – vergelijkbare – kwetsbaarheid actief misbruikt werd door kwaadwillenden. Let op: Op het moment van publicatie van dit bulletin heeft Fortinet nog geen gedetailleerde informatie vrijgegeven met betrekking tot CVE-2023-27997. De specifieke details en impact van de kwetsbaarheid zoals beschreven in externe bronnen moeten nog worden bevestigd. Er wordt verwacht dat Fortinet binnenkort aanvullende informatie zal vrijgeven. Kwetsbare versiesDe volgende versies van FortiOS-firmware zijn naar verwachting kwetsbaar:
Oplossingen en tijdelijke mitigatiesFortinet heeft op vrijdag 9 juni 2023 nieuwe firmware-versies uitgebracht die deze kwetsbaarheid vermoedelijk verhelpen. Het betreft onderstaande firmware-versies:
Pinewood raadt aan bovenstaande versies van FortiOS z.s.m. uit te rollen op kwetsbare devices, zeker indien op deze devices de SSL-VPN-functionaliteit is ingeschakeld. Detectie van mogelijk misbruikOp het moment van schrijven zijn er nog geen gevallen van actief misbruik bekend. De verwachting is echter dat malafide actoren op korte termijn een expoit voor de kwetsbaarheid zullen ontwikkelen waarop grootschalig misbruik mogelijk wordt. Vermoedelijk zal een Fortinet-device een crash registreren op het moment dat succesvol misbruik van de kwetsbaarheid plaatsvindt. Het is daarom verstandig om de Fortinet-logging te controleren op de aanwezigheid van een melding zoals hieronder: logdesc=”Application crashed” and msg=”[…] application:sslvpnd,[…], Signal 11 received, Backtrace: […]” Wees ervan bewust dat een logregel zoals hierboven kan duiden op succesvol misbruik, maar niet per definitie hoeft te betekenen dat er succesvol misbruik heeft plaatsgevonden. Het Pinewood SOC SOC (Security Operations Center) monitoort de aangesloten Fortinet-devices van klanten op de aanwezigheid van betreffende logregel. Meer informatiehttp://olympecyberdefense.fr/1193-2/ https://www.ncsc.nl/actueel/advisory?id=NCSC-2023-0282 Managed Security Services (MSS) klantenAls u een Pinewood Managed Security Services contract heeft is er geen actie nodig. Pinewood neemt de benodigde maatregelen om uw omgeving te beschermen tegen deze kwetsbaarheden. VragenVoor vragen over deze security bulletin kunt u contact opnemen met de Pinewood Servicedesk. De servicedesk is bereikbaar via +31 15 251 36 33 en via support@pinewood.nl. ===== ENGLISH ===== DescriptionAccording to various sources, Fortigate devices are vulnerable to a critical pre-authentication Remote Code Execution (RCE) vulnerability in the SSL VPN functionality. Exploiting this vulnerability allows an attacker to execute arbitrary code on affected SSL VPN devices without prior authentication. The vulnerability poses a significant risk, especially considering that a previous similar vulnerability was actively exploited by malicious actors. Please note: At the time of publishing this bulletin, Fortinet has not yet released detailed information regarding CVE-2023-27997. The specific details and impact of the vulnerability as described in external sources are yet to be confirmed. It is expected that Fortinet will release additional information soon. Vulnerable versionsThe following versions of FortiOS firmware are expected to be vulnerable:
Solutions and workaroundsFortinet released new firmware versions on Friday, June 9, 2023, which are expected to address this vulnerability. The following firmware versions are involved:
Pinewood recommends deploying the above versions of FortiOS as soon as possible on vulnerable devices, especially if the SSL-VPN functionality is enabled on these devices. Detection of possible misuseAt the time of writing, there are no known cases of active exploitation. However, it is expected that malicious actors will develop an exploit for the vulnerability in the near future, enabling widespread abuse.= When successful exploitation of the vulnerability occurs, a Fortinet device is likely to register a crash. Therefore, it is advisable to check the Fortinet logs for the presence of a notification similar to the following: logdesc=”Application crashed” and msg=”[…] application:sslvpnd,[…], Signal 11 received, Backtrace: […]” Please be aware that a log entry like the one above may indicate successful exploitation but does not necessarily mean that exploitation has occurred. Pinewood’s SOC (Security Operations Center) monitors the connected Fortinet devices of its customers for the presence of the mentioned log entry. More informationhttp://olympecyberdefense.fr/1193-2/ https://www.ncsc.nl/actueel/advisory?id=NCSC-2023-0282 Managed Security Services (MSS) customersIf you have a Pinewood Managed Security Services contract, no action is required. Pinewood takes the necessary measures to protect your environment from these vulnerabilities. QuestionsFor questions about this security bulletin, please contact the Pinewood Service desk. The service desk can be contacted at +31 15 251 36 33 and via support@pinewood.nl. |