Hoppa yfir valmynd

Alvarlegir veikleikar í Fortinet, Ivanti og Veeam

09. feb. 2024

Tilkynnt var um nokkra alvarlega veikleika í FortiOS hjá Fortinet, Connect Secure, Policy Secure og ZTA gateways hjá Ivanti og Recovery Orchestrator hjá Veeam. CERT-IS mælir með að uppfært sé eins fljótt og auðið er í útgáfu þar sem veikleikinn hefur verið lagfærður.

Alvarlegir veikleikar (e. critical)

Fortinet FortiOS

Fortinet hefur varað við nokkrum veikleikum í FortiOS SSL VPN þar sem tveir þeirra eru metnir sem alvarlegir og talið líklegt að verið sé að misnota annan þeirra [1]. Veikleikinn CVE-2024-21762 með CVSSv3 veikleikastig upp á 9.6 leyfir skrif út fyrir minni (e. out-of-bounds write) og CVE-2024-23113 með CVSSv3 veikleikastig upp á 9.8 er galli í FortiOS fgfmd daemon. Veikleikarnir gefa fjartengdum og óauðkenndum ógnaraðila færi á að framkvæma keyrslu á kóða (e. arbitrary code) eða senda skipanir með sérútbúnum fyrirspurnum [2,3].

Ivanti Connect Secure, Policy Secure og ZTA gateways

Veikleikinn CVE-2024-22024 hefur ekki fengið CVSSv3 veikleikastig en er metinn sem alvarlegur. Veikleikinn gerir ógnaraðila kleift að komast fram hjá auðkenningu (e. authentication bypass) í vefviðmóti Connect Secure, Neurons fyrir ZTA og Policy Secure hjá Ivanti sem gefur honum aðgang að auðlindum sem eru með takmarkaðar aðgangsheimildir (e. access restricted resources) [4,5].

Veeam Recovery Orchestrator

Veeam tilkynnti um tvo veikleika í Veeam Recovery Orchestrator þar sem annar er metinn alvarlegur (e. critical). Misnotkun á göllunum getur leitt til aukningu á réttindum innan kerfisins. Veikleikinn CVE-2024-22022 með CVSSv3 veikleikastig upp á 8.8 er galli þar sem notandi með lágmarks kerfisréttindi (e. low-privilege role) fær aðgang að NTLM tætigildi (e. hash) [6].

Eftirfarandi kerfi eru veik fyrir göllunum:

Fortinet FortiOS: 7.4.0-7.4.2, 7.2.0-7.2.6, 7.0.0-7.0.13, 6.4.0-6.4.14, 6.2.0-6.2.15, 6.0.x
Ivanti Connect Secure: 9.x, 22.x
Ivanti Policy Secure: 9.x, 22.x
Ivanti Neurons for ZTA: 22.x
Veeam Recovery Orchestrator: 6.0
Veeam Disaster Recovery Orchestrator: 5.0
Veeam Availability Orchestrator: 4.0

Veikleikarnir hafa verið lagfærðir í eftirfarandi útgáfum:

Fortinet FortiOS: >=7.4.3, >=7.2.7, >=7.0.14, >=6.4.15, >=6.2.16
Ivanti Connect Secure: 9.1R14.5, 9.1R17.3, 9.1R18.4, 22.4R2.3, 22.5R1.2, 22.5R2.3 og 22.6R2.2
Ivanti Policy Secure: 9.1R17.3, 9.1R18.4 og 22.5R1.2
Ivanti Neurons for ZTA: 22.5R1.6, 22.6R1.5 og 22.6R1.7
Veeam Recovery Orchestrator: 6.0 P20230419 (6.0.0.3516) [patch] og 7.0

Tilvísanir:

[1] https://www.bleepingcomputer.com/news/security/new-fortinet-rce-flaw-in-ssl-vpn-likely-exploited-in-attacks/ 
[2] https://fortiguard.fortinet.com/psirt/FG-IR-24-015 
[3] https://fortiguard.fortinet.com/psirt/FG-IR-24-029 
[4] https://www.bleepingcomputer.com/news/security/ivanti-patch-new-connect-secure-auth-bypass-bug-immediately/ 
[5] https://www.ivanti.com/blog/security-update-for-ivanti-connect-secure-and-ivanti-policy-secure-gateways-282024 
[6] https://www.veeam.com/kb4541