De Cybersecurity and Infrastructure Security Agency (CISA) van de Verenigde Staten heeft een dringende waarschuwing uitgegeven nadat werd bevestigd dat aanvallers actief een kritieke kwetsbaarheid voor remote code execution (RCE) in FortiOS exploiteren. Deze kwetsbaarheid, aangeduid als CVE-2024-23113, treft niet-gepatchte Fortinet-apparaten en stelt kwaadwillenden in staat om willekeurige commando’s of code uit te voeren zonder authenticatie, door middel van aanvallen met lage complexiteit die geen gebruikersinteractie vereisen.
De kwetsbaarheid bevindt zich in de Fortinet-daemon fgfmd, die verantwoordelijk is voor het beheren van authenticatieverzoeken en keep-alive berichten tussen FortiGate en FortiManager, naast andere kritieke taken zoals het bijwerken van bestanden en databases. Volgens Fortinet treft CVE-2024-23113 verschillende versies van hun producten, waaronder FortiOS 7.0 en hoger, FortiPAM 1.0 en hoger, FortiProxy 7.0 en hoger, en FortiWeb 7.4.
Ernstige kwetsbaarheid en actieve exploitatie
Het probleem werd ontdekt en hersteld door Fortinet in februari van dit jaar, toen het bedrijf beheerders adviseerde om de toegang tot de fgfmd-daemon vanaf alle interfaces te verwijderen als een mitigatiemaatregel om mogelijke aanvallen te voorkomen. Desondanks waren deze waarschuwingen niet voldoende, aangezien CISA bevestigde dat aanvallers zijn begonnen met het exploiteren van deze fout in kwetsbare apparaten.
Fortinet suggereerde ook dat er lokale beleidsmaatregelen moeten worden geïmplementeerd om de FGFM-verbindingen van specifieke IP-adressen te beperken. Ze waarschuwden echter dat dit soort maatregelen alleen het aanvalsoppervlak verkleinen, maar de exploitatie niet voorkomen als de aanval afkomstig is van een toegestaan IP-adres.
Federale agentschappen verplicht om binnen drie weken te patchen
Gezien de toenemende dreiging heeft CISA de kwetsbaarheid CVE-2024-23113 toegevoegd aan haar catalogus van Bekende Exploiteerde Kwetsbaarheden en heeft het federale agentschappen in de VS opgedragen hun FortiOS-apparaten binnen de komende drie weken te patchen, dat wil zeggen vóór 30 oktober. Deze richtlijn, BOD 22-01, werd oorspronkelijk geïmplementeerd in november 2021 als een bindende operationele maatregel om de cybersecurity in federale netwerken te versterken.
«Dit soort kwetsbaarheden zijn frequente aanvalsvector voor kwaadwillende cyberacteurs en vertegenwoordigen significante risico’s voor de federale infrastructuur», waarschuwde CISA in haar mededeling.
Verontrustende precedenten: eerdere aanvallen op Fortinet-apparaten
Het is niet de eerste keer dat een kwetsbaarheid in FortiOS is uitgebuit door cyberaanvallers. In juni van dit jaar meldde de Militaire Inlichtingen- en Veiligheidsdienst van Nederland (MIVD) dat Chinese hackers een andere kritieke kwetsbaarheid in FortiOS (CVE-2022-42475) exploiteerden tussen 2022 en 2023. Bij die gelegenheid werden ten minste 20.000 netwerkbeveiligingsapparaten van Fortigate geïnfecteerd met malware, wat de ernst van de beveiligingslekken in deze systemen aantoont.
De actieve exploitatie van CVE-2024-23113 benadrukt de dringende noodzaak voor organisaties om hun Fortinet-apparaten bij te werken en te versterken. Bedrijven en overheidsinstellingen moeten snel handelen om de risico’s te beperken en te voorkomen dat ze ten prooi vallen aan kwaadwillenden die deze kwetsbaarheden kunnen uitbuiten om kritieke netwerken te compromitteren.