Varovanie pred kritickou zraniteľnosťou vo Fortinet produktoch

Národné centrum kybernetickej bezpečnosti SK-CERT varuje pred novou kritickou zraniteľnosťou v operačnom systéme FortiOS, ktorý je súčasťou rôznych produktov spoločnosti Fortinet. Produkty spoločnosti Fortinet sú široko používané organizáciami v slovenskom kybernetickom priestore, vrátane prevádzkovateľov základných služieb.

Varovanie vydáva Národný bezpečnostný úrad v zmysle § 27, ods.1, písmena a zákona o kybernetickej bezpečnosti.

Zraniteľnosť sa nachádza v používateľskom webovom rozhraní pre SSL VPN (nie v administračnom rozhraní) a týka sa všetkých zariadení s iným než aktuálnym firmvérom, ktoré majú VPN port sprístupnený na internete. Je predpoklad, že na jej zneužitie nie je potrebné, aby služba SSL VPN ako taká bola na zariadení využívaná. Zneužitie zraniteľnosti umožňuje vzdialené vykonanie kódu a úplné narušenie dôvernosti, integrity a dostupnosti.

Zraniteľnosť ešte nebola oficiálne ohlásená výrobcom, je však široko komunikovaná v bezpečnostnej komunite a je jej pridelené číslo CVE-2023-27997. Oprava tejto zraniteľnosti sa nachádza v najnovších verziách 6.0.17, 6.2.15, 6.4.13, 7.0.12, 7.2.5, vydaných v piatok 9. júna 2023.  Očakáva sa, že výrobca sa ku nej oficiálne vyjadrí v utorok 13. júna 2023. SK-CERT odhaduje, že táto zraniteľnosť môže dosiahnuť CVSS skóre až 10.0.

Túto zraniteľnosť je možné zneužiť bez akejkoľvek autentifikácie, preto jej nezabráni ani správne nastavená viacfaktorová autentifikácia.

Jedná sa o ďalšiu kritickú zraniteľnosť v komponente SSL VPN po tom, ako sme v decembri varovali pred inou kritickou zraniteľnosťou v rovnakom produkte.

Odporúčania

Národné centrum kybernetickej bezpečnosti SK-CERT dôrazne odporúča:

  • bezodkladne aktualizovať firmvér na najnovšiu dostupnú verziu, najmenej však na verzie 6.0.17, 6.2.15, 6.4.13, 7.0.12, 7.2.5. Ak aktualizácia nie je možná, zariadenie vypnite. V tomto prípade odporúčame nečakať do pravidelného aktualizačného okna vzhľadom k mimoriadnemu riziku,
  • po aktualizácii zmeniť všetky kľúče, heslá a VPN prístupy na zasiahnutom zariadení,
  • v logoch zariadení na lokálnej sieti (servery, pracovné stanice) vyhľadať vnútorné adresy zasiahnutého zariadenia a posúdiť, či sa jedná o legitímnu komunikáciu. Ak nájdete podozrivé spojenia (napr. skenovanie portov, pokusy o prihlásenie, enumeráciu webových aplikácií), predpokladajte kompromitáciu a odštartujte plnú reakciu na incident,
  • ak je to možné, na nezávislom zariadení identifikovať sieťové spojenia z Internetu na SSL VPN a porovnať s legitímnymi pripojeniami používateľov. Ak takto identifikujete komunikáciu s externou IP adresou, ktorá nepatrila legitímnemu VPN pripojeniu, a v rámci spojenia bolo prenesených viac než 10 kB dát, predpokladajte kompromitáciu a odštartujte plnú reakciu na incident,
  • prípadný incident nezabudnite nahlásiť Národnému centru kybernetickej bezpečnosti SK-CERT na adrese [email protected].

« Späť na zoznam
Aktuálne hrozby
všetky oznámenia
Odkazy