Kritische Sicherheitslücke in Fortinet FortiOS und FortiProxy SSL-VPN Produkten - aktiv ausgenutzt, Updates verfügbar

13. Juni 2023

Beschreibung

Fortinet hat eine Warnung herausgegeben, dass in den SSL-VPN - Komponenten der Produkte FortiOS und FortiProxy eine kritische Sicherheitslücke besteht, die auch bereits aktiv ausgenutzt wird, und stellt erste entsprechende Updates bereit.

CVE-Nummer(n): CVE-2023-27997

CVSSv3 Score: 9.2

Auswirkungen

Unauthentisierte Angreifer:innen können durch Ausnutzen der Lücke beliebigen Code auf betroffenen Geräten ausführen. Da diese Geräte üblicherweise für VPNs zum Einsatz kommen, ist auch ein Mitlesen bzw. Verändern des VPN-Verkehrs nicht auszuschliessen. Des weiteren sind alle durch das VPN erreichbaren Systeme entsprechend gefährdet.

Betroffene Systeme

Geräte mit FortiOS bzw. FortiProxy, in denen die SSL-VPN - Funktionalität aktiviert ist. Ist diese Funktionalität nicht aktiviert, sind die Geräte auch nicht direkt betroffen.

FortiOS-6K7K, zumindest in den folgenden Versionen:

  • FortiOS-6K7K 7.0.10
  • FortiOS-6K7K 7.0.5
  • FortiOS-6K7K 6.4.12
  • FortiOS-6K7K 6.4.10
  • FortiOS-6K7K 6.4.8
  • FortiOS-6K7K 6.4.6
  • FortiOS-6K7K 6.4.2
  • FortiOS-6K7K 6.2.9 bis 6.2.13
  • FortiOS-6K7K 6.2.6 bis 6.2.7
  • FortiOS-6K7K 6.2.4
  • FortiOS-6K7K 6.0.12 bis 6.0.16
  • FortiOS-6K7K 6.0.10

FortiProxy, zumindest in den folgenden Versionen:

  • FortiProxy 7.2.0 bis 7.2.3
  • FortiProxy 7.0.0 bis 7.0.9
  • FortiProxy 2.0.0 bis 2.0.12
  • FortiProxy 1.2 alle Versionen
  • FortiProxy 1.1 alle Versionen

FortiOS, zumindest in den folgenden Versionen:

  • FortiOS 7.2.0 bis 7.2.4
  • FortiOS 7.0.0 bis 7.0.11
  • FortiOS 6.4.0 bis 6.4.12
  • FortiOS 6.2.0 bis 6.2.13
  • FortiOS 6.0.0 bis 6.0.16

Abhilfe

Einspielen der entsprechend fehlerbereinigten Firmware-Versionen.

Fortinet rät auch Kunden, die SSL-VPN nicht nutzen, dringend auf die neuen Versionen zu setzen, da diese auch andere Probleme beheben.

Hinweis

Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.

Informationsquelle(n):

Fortinet PSIRT Advisory FG-IR-23-097 (englisch)
https://www.fortiguard.com/psirt/FG-IR-23-097

Fortinet Analysis of CVE-2023-27997 and Clarifications on Volt Typhoon Campaign (englisch)
https://www.fortinet.com/blog/psirt-blogs/analysis-of-cve-2023-27997-and-clarifications-on-volt-typhoon-campaign

Artikel bei Heise Security

https://www.heise.de/news/Fortinet-SSL-VPN-Luecke-ermoeglicht-Codeschmuggel-9184284.html