Fortinet heeft kritieke kwetsbaarheden in zijn Wireless LAN Manager (FortiWLM) aangepakt die zouden kunnen leiden tot niet-geverifieerde uitvoering van externe code (RCE) en het vrijgeven van gevoelige informatie. Het vrijgegeven adres van de patches CVE-2023-34990 En CVE-2023-48782die, wanneer ze samen worden uitgebuit, aanvallers ongeautoriseerde toegang kunnen verlenen. Experts benadrukken de urgentie voor klanten om hun systemen te upgraden.
Fortinet herstelt kritieke kwetsbaarheden in Wireless LAN Manager
De geïdentificeerde bug, CVE-2023-34990, heeft een CVSS-score van 9,6 en werd voor het eerst onthuld in maart 2023. Het wordt gecategoriseerd als een “niet-geauthenticeerde kwetsbaarheid voor het lezen van beperkte bestanden.” Zach Hanley, een beveiligingsonderzoeker van Horizon3.ai, meldde dat de kwetsbaarheid voortkomt uit onvoldoende invoervalidatie op verzoekparameters. Door deze fout kunnen aanvallers mappen doorkruisen en toegang krijgen tot elk logbestand op het systeem, waardoor mogelijk gevoelige informatie zoals gebruikerssessie-ID’s wordt onthuld. Deze logboeken zijn bijzonder uitgebreid in FortiWLM, waardoor het risico bij misbruik toeneemt.
De Nationale Vulnerability Database (NVD) beschrijft hoe deze kwetsbaarheid kan leiden tot het uitvoeren van ongeautoriseerde code via speciaal vervaardigde webverzoeken. De getroffen FortiWLM-versies omvatten 8.6.0 tot 8.6.5, die zijn aangepakt in 8.6.6 en hoger, en 8.5.0 tot 8.5.4, opgelost in versie 8.5.5 of hoger. Gezien de bekendheid van Fortinet als doelwit voor cyberaanvallen kan de noodzaak van snelle patching niet genoeg worden benadrukt.
Het BADBOX-botnet infecteert wereldwijd meer dan 192.000 Android-apparaten
Naast CVE-2023-34990 speelt een afzonderlijke kwetsbaarheid, CVE-2023-48782, ook een cruciale rol in de exploitketen. Deze geverifieerde fout in de opdrachtinjectie heeft een CVSS-score van 8,8 en is vorig jaar verholpen. Hanley merkt op dat een aanvaller, in combinatie met de niet-geauthenticeerde kwetsbaarheid, kwaadaardige commando’s met rootrechten kan uitvoeren door commando’s via een specifiek eindpunt te injecteren, waardoor het systeem verder in gevaar komt.
Kaspersky wel gemeld voortdurende exploitatie van een andere kwetsbaarheid in Fortinet’s FortiClient EMS, met name CVE-2023-48788met een CVSS-score van 9,3. Door deze kwetsbaarheid voor SQL-injectie kunnen aanvallers speciaal vervaardigde datapakketten verzenden, waardoor ze ongeautoriseerde code kunnen uitvoeren. Het cyberbeveiligingsbedrijf documenteerde in oktober 2024 een aanval die gericht was op een Windows-server waarop FortiClient EMS werd gehost. De aanval maakte gebruik van open poorten om controle over de server te krijgen, wat leidde tot de installatie van externe desktopsoftware zoals AnyDesk en ScreenConnect.
Na de eerste inbreuk zouden aanvallers naar verluidt extra ladingen hebben geüpload voor zijdelingse verplaatsing, het verzamelen van inloggegevens en het instellen van persistentie op het gecompromitteerde systeem. Hulpmiddelen die in deze campagne werden gebruikt, waren onder meer malware voor wachtwoordherstel en netwerkscans, zoals Mimikatz en netscan.exe. Er wordt opgemerkt dat de campagne zich richtte op verschillende bedrijven in meerdere landen, waardoor het mondiale bereik en de verfijning van deze cyberdreigingen aan het licht kwamen.
Kaspersky heeft verdere pogingen waargenomen om CVE-2023-48788 te bewapenen, waaronder het uitvoeren van PowerShell-scripts vanaf gecompromitteerde servers om reacties van andere kwetsbare doelen te verzamelen. Deze inspanning wijst op evoluerende aanvalsmethoden en aanhoudende risico’s voor organisaties die Fortinet-producten gebruiken. De eerste onthullingen door Forescout eerder dit jaar gemeld een soortgelijk exploitatiepatroon met dezelfde kwetsbaarheid voor het leveren van tools voor externe toegang.
Organisaties die de systemen van Fortinet gebruiken, moeten prioriteit geven aan het upgraden en patchen van hun apparatuur om de risico’s die aan deze kwetsbaarheden zijn verbonden te beperken. Het is nog steeds onduidelijk in hoeverre deze kwetsbaarheden wereldwijd al zijn uitgebuit, waardoor het essentieel is dat beheerders waakzaam blijven.
Uitgelichte afbeeldingscredits: Kerem Gülen/Midjourney
