Home > Security Bulletins > FortiOS Out-of-Bounds Write in SSL VPN – CVE-2024-21762

FortiOS Out-of-Bounds Write in SSL VPN – CVE-2024-21762

Laptop lock

Dinsdag 9 Februari 2024

Introductie

Gisteravond publiceerde Fortinet een PSIRT bulletin over een out-of-bounds write kwetsbaarheid in FortiOS. CVE-2024-21762 (CVSS v3.1: 9.6 [Critical]) kan een niet-geauthenticeerde aanvaller op afstand in staat stellen willekeurige code in sslvpnd uit te voeren via speciaal vervaardigde HTTP verzoeken.

In het bulletin van Fortinet staat dat deze kwetsbaarheid mogelijk in het wild wordt uitgebuit.

Ook gisteren gepubliceerd is CVE-2024-23113 ( CVSS v3.1: 9.8 [Critical]), een kwetsbaarheid in fgfmd (FortiGate to FortiManager Protocol) waardoor niet-geauthenticeerde aanvallers op afstand willekeurige code kunnen uitvoeren via speciaal vervaardigde verzoeken. Het is echter niet bekend dat deze actief wordt uitgebuit.

Het advies van Spotit is dat alle gebruikers de getroffen versies van FortiOS zo snel mogelijk moeten upgraden.

Betrokken Versies

De volgende versies worden beïnvloed door CVE-2024-21762:

 

FortiOS 7.6 Niet beïnvloed Niet van toepassing
FortiOS 7.4 7.4.0 tot en met 7.4.2 Upgraden naar 7.4.3 of hoger
FortiOS 7.2 7.2.0 tot en met 7.2.6 Upgraden naar 7.2.7 of hoger
FortiOS 7.0 7.0.0 tot en met 7.0.13 Upgraden naar 7.0.14 of hoger
FortiOS 6.4 6.4.0 tot en met 6.4.14 Upgraden naar 6.4.15 of hoger
FortiOS 6.2 6.2.0 tot en met 6.2.15 Upgraden naar 6.2.16 of hoger
FortiOS 6.0 6.0 alle versies Migreren naar een vaste release

De volgende versies worden beïnvloed door CVE-2024-23113:

FortiOS 7.4 7.4.0 tot en met 7.4.2 Upgraden naar 7.4.3 or hoger
FortiOS 7.2 7.2.0 tot en met 7.2.6 Upgraden naar 7.2.7 or hoger
FortiOS 7.0 7.0.0 tot en met 7.0.13 Upgraden naar 7.0.14 or hoger