NCSC er ikke kjent med aktiv utnyttelse av sårbarheten i Norge, men dette må forventes i umiddelbar fremtid.

Varsel fra HelseCERT:
En kritisk sårbarhet i SSL VPN komponenten i FortiOS er aktivt utnyttet. Oppdatering er tilgjengelig. Oppdater så raskt som mulig, fortrinnsvis i løpet av dagen.

Situasjon:

Fortinet publiserte et varsel 8. februar 2024 om en kritisk sårbarhet i FortiOS1,2.

Vellykket utnyttelse av sårbarheten kan gjøre det mulig for uautentisert angriper å kjøre kode og kommandoer på enheten.

Utnyttelse forutsetter at SSL VPN funksjonaliteten er skrudd på. Vi kjenner ikke til om SSL VPN endepunktet er eneste måte å utnytte sårbarheten på, eller om man kan utnytte sårbarheten ved å koble til andre endepunkt, så lenge SSL VPN funksjonaliteten er på.

Sårbarheten er tildelt CVE-2024-21762 og har fått en CVSS score på 9.6 (KRITISK).

Følgende versjoner av FortiOS er sårbare:

  • 7.4.0 til og med 7.4.2 (Oppdater til 7.4.3 eller nyere)
  • 7.2.0 til og med 7.2.6 (Oppdater til 7.2.7 eller nyere)
  • 7.0.0 til og med 7.0.13 (Oppdater til 7.0.14 eller nyere)
  • 6.4.0 til og med 6.4.14 (Oppdater til 6.4.15 eller nyere)
  • 6.2.0 til og med 6.2.15 (Oppdater til 6.2.16 eller nyere) Alle versjoner av 6.0

Versjoner som lukker sårbarheten er tilgjengelige og har vært tilgjengelige siden 7. februar.

Kode for utnyttelse er ikke offentlig tilgjengelig så langt vi kjenner til.

Fortinet beskriver at sårbarheten er aktivt utnyttet ("This is potentially being exploited in the wild"). Vi vet ikke i hvilket omfang, men forventer storskala utnyttelse svært raskt.

Vi besitter per nå ikke informasjon om indikatorer på kompromittering.

Anbefaling:

Vi anbefaler at dette får høyeste prioritet og at dere tar sårbare enheter av nett fram til de kan oppdateres.

Bakgrunnen for anbefalingen er at vi anser det som svært sannsynlig at en sårbar instans vil bli utnyttet av angripere innen kort tid.

Fortinet beskriver at sårbarheten kan mitigeres ved å skru av SSL VPN funksjonaliteten i sin helhet. De beskriver også at å "disable webmode" IKKE er en fungerende mitigering.

Merk at Fortinet også har beskrevet en annen sårbarhet 3 tildelt CVE-2024-23113 hvor ingen mitigering er oppgitt. Denne sårbarheten er lukket i versjonene som lukker CVE-2024-21762.

Referanser:

1https://fortiguard.fortinet.com/psirt/FG-IR-24-015

2https://www.bleepingcomputer.com/news/security/new-fortinet-rce-flaw-in-ssl-vpn-likely-exploited-in-attacks/

3- https://fortiguard.fortinet.com/psirt/FG-IR-24-029