NCSC | Beveiligingsadviezen
Bekijk RSS-feed

Beveiligingsadviezen

Download

Beveilingsadvies; NCSC-2024-0120

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

Titel           : Kwetsbaarheden verholpen in Fortinet FortiOS en
                  FortiProxy
Advisory ID     : NCSC-2024-0120
Versie          : 1.00
Kans            : high
CVE ID          : CVE-2023-42789, CVE-2023-42790, CVE-2023-46717,
                  CVE-2024-23112
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: https://cve.mitre.org/cve/)
Schade          : high
                  Omzeilen van beveiligingsmaatregel
                  (Remote) code execution (Gebruikersrechten)
                  Toegang tot gevoelige gegevens
                  Verhoogde gebruikersrechten
Uitgiftedatum   : 20240313
Toepassing      :
Versie(s)       :
Platform(s)     : Fortinet FortiOS
                  Fortinet FortiProxy

Beschrijving
   Fortinet heeft kwetsbaarheden verholpen in FortiOS en
   FortiProxy. Een kwaadwillende kan de kwetsbaarheden misbruiken om
   willekeurige code uit te voeren, toegang te verkrijgen tot gevoelige
   gegevens of om rechten te verhogen.

   De kwetsbaarheid met kenmerk CVE-2024-23112 is van toepassing op
   FortiOS en FortiProxy SSLVPN, en stelt een geauthenticeerde
   kwaadwillende in staat om een beveiligingsmaatregel te omzeilen door
   een URL te manipuleren. De kwaadwillende kan op deze manier toegang
   verkrijgen tot een bookmark.

   De meest ernstige kwetsbaarheden met kenmerk CVE-2023-42789 en
   CVE-2023-42790 zijn van toepassing op FortiOS en FortiProxy, en
   stellen een kwaadwillende met toegang tot het captive portal in
   staat om middels speciaal geprepareerde HTTP-verzoeken willekeurige
   code uit te voeren.

   De kwetsbaarheid met kenmerk CVE-2024-23112 is van toepassing op
   FortiOS, en stelt een geauthenticeerde kwaadwillende met read-only
   machtigingen in staat om read-write machtigingen te verkrijgen. Het
   kwetsbare systeem moet hiervoor wel geconfigureerd zijn met
   FortiAuthenticator in HA.

   Er zijn op dit moment geen indicaties dat de kwetsbaarheden actief
   worden misbruikt.

Mogelijke oplossingen
   Fortinet heeft updates uitgebracht om de kwetsbaarheden te verhelpen
   in FortiOS en FortiProxy. Voor de kwetsbaarheden met kenmerk
   CVE-2024-23112, CVE-2023-42789 en CVE-2023-42790 zijn ook
   mitigerende maatregelen gepubliceerd om de dreiging te minimaliseren
   tot de update is ingezet. Voor meer informatie, zie:

   https://fortiguard.fortinet.com/psirt/FG-IR-24-013
   https://fortiguard.fortinet.com/psirt/FG-IR-23-328
   https://fortiguard.fortinet.com/psirt/FG-IR-23-424

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.

-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 1298)
Charset: utf-8
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=kfXM
-----END PGP SIGNATURE-----