-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

Titel           : Kwetsbaarheden verholpen in Fortinet FortiOS
Advisory ID     : NCSC-2024-0058
Versie          : 1.00
Kans            : high
CVE ID          : CVE-2023-44487, CVE-2023-47537, CVE-2024-21762,
                  CVE-2024-23113
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: https://cve.mitre.org/cve/)
Schade          : high
                  Denial-of-Service (DoS)
                  Manipulatie van gegevens
                  (Remote) code execution (Administrator/Root rechten)
                  Toegang tot systeemgegevens
Uitgiftedatum   : 20240209
Toepassing      :
Versie(s)       :
Platform(s)     : Fortinet FortiOS

Beschrijving
   Fortinet heeft kwetsbaarheden verholpen in FortiOS. Een
   ongeauthenticeerde kwaadwillende kan de kwetsbaarheden misbruiken om
   een Denial-of-Service te veroorzaken, of om willekeurige code uit te
   voeren op het kwetsbare systeem.

   Ook kan een kwaadwillende mogelijk toegang krijgen tot de FortiLink
   verbinding tussen het kwetsbare systeem en een FortiSwitch instance.
   De kwaadwillende dient hiervoor wel toegang te hebben tot de interne
   infrastructuur en een Man-in-the-Middle positie in te kunnen nemen.

   De ernstigste kwetsbaarheid heeft kenmerk CVE-2024-21762 gekregen.
   Deze kwetsbaarheid bevindt zich in de sslvpnd en stelt een
   ongeautheinticeerde kwaadwillende op afstand in staat om middels
   speciaal geprepareerde HTTP-requests willekeurige code uit te voeren
   op het kwetsbare systeem.
   Fortinet meldt rapporten te hebben ontvangen dat deze kwetsbaarheid
   actief en beperkt is misbruikt.
   De meest recente versie van FortiOS, v7.6 is niet gevoelig voor deze
   kwetsbaarheid. Voor alle overige ondersteunde versies van FortiOS,
   7.4 en lager, heeft Fortinet updates uitgebracht.

   Indien de inzet van de updates niet onmiddellijk mogelijk is, geeft
   Fortinet aan dat als workaround het uitschakelen van de SSL VPN
   overwogen kan worden.

   Er is op dit moment nog geen publieke exploitcode beschikbaar.
   Echter, door de ernst van de kwetsbaarheid, en de verwachting dat op
   korte termijn exploitcode zal verschijnen waardoor grootschalig
   misbruik mogelijk gaat worden, wordt de inschaling van dit
   beveiligingsadvies HIGH/HIGH

Mogelijke oplossingen
   Fortinet heeft updates uitgebracht om de kwetsbaarheden te verhelpen
   in FortiOS. Voor meer informatie, zie:

   https://www.fortiguard.com/psirt/FG-IR-24-015
   https://www.fortiguard.com/psirt/FG-IR-23-301
   https://www.fortiguard.com/psirt/FG-IR-24-029
   https://www.fortiguard.com/psirt/FG-IR-23-397

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.

-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 1298)
Charset: utf-8
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=BavU
-----END PGP SIGNATURE-----