Fortinet fixt kritischen RCE-Bug (CVE-2023-27997) in Fortigate SSL-VPNs (Juni 2023)

Sicherheit (Pexels, allgemeine Nutzung)[English]Hersteller Fortinet hat gerade ein Update der Firmware für seine Fortigate SSL-VPNs veröffentlicht. Dabei wurde wohl nicht erwähnt, dass dieses Firmware-Update dringend installiert werden sollte, da es eine kritische RCE-Schwachstelle in den Fortigate SSL-VPNs schließt. Das Thema ist mir sowohl auf Twitter untergekommen als auch von Blog-Lesern berichtet worden. Ergänzung: Es gibt nun eine Sicherheitswarnung und eine CVE-Nummer sowie den Hinweis, dass die Schwachstelle vermutlich ausgenutzt wurde.


Anzeige

Blog-Leser Martin H. hatte mich heute per persönlicher Nachricht auf Facebook kontaktiert und lieferte einen Hinweis auf Firmware-Updates bei Fortinet:

Haben Sie wahrscheinlich schon gesehen, aber Fortinet treibt einen echt in den Wahnsinn. Es ist ja auch zu viel verlangt ne simple Nachricht an seine Partner zu schicken mit dem Text "Dringend Patchen! Warum erklären wir später". Wieso muss man das erst bei Ihnen oder einer anderen Seite lesen. Kann's ja echt nicht sein.

Ich hatte das Thema auf Twitter gesehen, weil einige Sicherheitsexperten diesbezüglich gerade "ein Rad schlagen", weil Fortinet da keine Warnung oder Hinweis veröffentlicht hat. Vorigen Freitag wurden Sicherheitsupdates für die FortiOS-Firmware-Versionen 6.0.17, 6.2.15, 6.4.13, 7.0.12 und 7.2.5 veröffentlicht. Will Dormann greift es in folgendem Tweet auf:

Fortinet FortiOS updates

Ihm ist zu Ohren gekommen, dass die FortiOS-Versionen 7.2.5, 7.0.12, 6.4.13, 6.2.15, 6.0.17 die kritische Remote Code Execution-Schwachstelle CVE-2023-27997 beheben. Der Tweet deutet an, dass es keine PSIRT-Veröffentlichungen von Fortinet gibt (der Screenshot zeigt, dass die letzte Sicherheitswarnung von Mai 2023 datiert).

Die Sicherheitsspezialisten von OLYMPE weisen hier auf die Updates hin, die die kritische Schwachstelle schließen. Die Sicherheitslücke ermöglicht es einem Angreifer, sich über das VPN einzuschleusen, selbst wenn MFA aktiviert ist. In einem weiteren Tweet kritisiert Will Dormann die Praxis von Fortinet, dass diese die Updates ohne weitere Erklärungen veröffentlichen (im Grunde hätten die Updates am Freitag dringend eingespielt werden müssen).

Fortinet FortiOS updates

Die Kollegen von Bleeping Computer haben den Sachverhalt in diesem Artikel aufgegriffen, nachdem sie von einem Sicherheitsforscher Charles Fol kontaktiert wurden, der auf die Schwachstelle hinwies. Mir ist dann nach nachfolgender Tweet untergekommen, der den Sachverhalt aufgreift und mal kurz auf Shodan verlinkt.


Anzeige

Weltweit sind 635.500 IP-Adressen entsprechender Geräte aufgelistet. In den USA sind 199,500 Einheiten aufgelistet und bei diversen Abrufen sind mir einige Instanzen in Deutschland aufgefallen. Auf die Berichte von Bleeping Computer und The Hacker News hat Fortinet folgendes geantwortet:

Timely and ongoing communications with our customers is a key component in our efforts to best protect and secure their organization. There are instances where confidential advance customer communications can include early warning on Advisories to enable customers to further strengthen their security posture, prior to the Advisory being publicly released to a broader audience. This process follows best practices for responsible disclosure to ensure our customers have the timely information they need to help them make informed risk-based decisions. For more on Fortinet's responsible disclosure process, visit the Fortinet Product Security Incident Response Team (PSIRT) page.

Ergänzung: Es gibt nun eine Sicherheitswarnung FG-IR-23-097 des Herstellers und eine CVE-Nummer CVE-2023-27997 mit weiteren Details. Die Schwachstelle wurde als kritisch eingestuft. Laut Bleeping Computer gibt es den Hinweis, dass die Schwachstelle vermutlich ausgenutzt wurde.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Antworten zu Fortinet fixt kritischen RCE-Bug (CVE-2023-27997) in Fortigate SSL-VPNs (Juni 2023)

  1. Fritz sagt:

    Da der CVE-Eintrag noch nicht öffentlich ist, weiß jemand ob das Problem nur in Fortinets Implementation oder generell im SSL-VPN (was ja die meisten Hersteller durch Einbinden der OpenVPN-Bibliotheken implementieren) steckt? Ich frage insbesondere wegen Sophos…

  2. Mountain sagt:

    Hat zwar nicht ganz mit FortiGate zu tun aber auch mit Fortinet. Wir versuchen seit ca. 6 Monaten FortiEDR in Verbindung mit diversen Citrix- / PVS Servern ans Laufen zu bekommen. Bisher haben wir keine „negativen" Forenbeiträge zu diesem Thema gefunden. Sind wir die einzigen die Probleme mit FortiEDR haben? Wäre evtl. ein extra Beitrag wert, sofern noch mehr Leser aktuell Probleme mit FortiEDR haben …

  3. Alex sagt:

    Ist 6.4.13 zurückgezogen?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.