Zusammenfassung
- Fortinets PSIRT-Advisory FG-IR-24-015 beschrieb CVE-2024-21762 als eine Out-of-Bounds-Write-Sicherheitslücke in FortiOS und FortiProxy, die nicht authentifizierte Remote-Codeausführung ermöglichen kann, und stellte fest, dass sie möglicherweise in freier Wildbahn ausgenutzt wurde.
- CISA fügte CVE-2024-21762 zu seinem Katalog bekannter ausgenutzter Sicherheitslücken hinzu und machte sie damit zu einer priorisierten öffentlichen Bedrohung für Organisationen, die betroffene Fortinet-Produkte verwenden.
- Der Vorfall ist nicht nur ein "FortiOS patchen". Remote-Zugriffsgeräte können unzuverlässig bleiben, wenn Angreifer sie vor dem Patch ausgenutzt, Anmeldedaten erbeutet, die Konfiguration geändert oder Persistenz eingerichtet haben.
- Fortinet kontrollierte die Produktsicherheit, die PSIRT-Veröffentlichung, die korrigierten Versionen, Workarounds und Härtungsanleitungen. Die Kunden kontrollierten das Geräteinventar, die SSL-VPN-Exposition, die Notfallpatches, die Protokollaufbewahrung, die Kompromittierungsbewertung, die Kennwortrotation und die Entscheidungen zum Wiederaufbau.
- Die öffentliche Aufzeichnung stützt die Schlussfolgerung mit hoher Sicherheit, dass das Patchen von Edge-Geräten mit einer Prüfung nach der Ausnutzung einhergehen muss. Sie beweist nicht, dass jedes anfällige FortiGate ausgenutzt wurde oder dass CVE-2024-21762 jeden späteren Fortinet-bezogenen Kompromiss erklärt.
Das Advisory selbst stellte die Ausnutzung in den Raum
Fortinets Advisory,FG-IR-24-015, ist die primäre Quelle. Es beschrieb CVE-2024-21762 als eine Out-of-Bounds-Write-Sicherheitslücke in FortiOS und FortiProxy, die nicht authentifizierte Remote-Codeausführung durch manipulierte HTTP-Anfragen ermöglichen kann. Das Advisory gab an, dass die Sicherheitslücke möglicherweise in freier Wildbahn ausgenutzt wurde, und listete betroffene und korrigierte Versionen auf. Es enthielt auch einen Workaround: Deaktivieren von SSL-VPN.
Der NVD-Eintrag fürCVE-2024-21762dokumentiert die kritische Sicherheitslücke, während CISA seinenKEV-Katalogum diese CVE als ausgenutzte Sicherheitslücke erweiterte, die von Bundesbehörden gemäß der Richtlinie behoben werden muss. CISA forderte in seiner WarnungFortinet veröffentlicht Sicherheitsupdates für FortiOSdie Administratoren auf, das Advisory zu prüfen und die Updates anzuwenden.
Diese öffentliche Aufzeichnung ist von Bedeutung, weil die Formulierung „möglicherweise in freier Wildbahn ausgenutzt" die Pflicht des Betreibers verändert. Eine rein theoretische Sicherheitslücke kann durch einen Notfallpatch behoben werden. Eine Sicherheitslücke mit Ausnutzungsrisiko erfordert Incident-Response-Denken: War das Gerät exponiert, wurde es berührt, welche Protokolle existieren, welche Anmeldedaten könnten erbeutet worden sein und welche Systeme liegen dahinter?
Fortinet-Produkte sind keine Randinfrastruktur. FortiGate-Firewalls und FortiOS-Geräte werden häufig für Perimetersicherheit, VPN-Zugriff, Segmentierung und Fernverwaltung eingesetzt. Das macht den Explosionsradius organisatorisch. Ein anfälliges SSL-VPN kann zum Einstiegspunkt in genau die Umgebungen werden, die die Firewall schützen sollte.
Das Deaktivieren von SSL-VPN ist ein echter Workaround mit echten Betriebskosten
Fortinets Workaround war klar: Deaktivieren Sie SSL-VPN. Betrieblich ist das für viele Organisationen kein trivialer Knopf. SSL-VPN kann der Zugang für Mitarbeiter, Auftragnehmer, Administratoren, Lieferanten oder entfernte Standorte zu internen Anwendungen sein. Das Deaktivieren kann die Arbeit, den Fernsupport, die Notfallwartung und die Geschäftskontinuität beeinträchtigen. Das Aktivieren während Ungepatchedheit kann die Organisation der Ausnutzung aussetzen.
Das ist das Managementproblem. Sicherheitshinweise, die technisch fundiert sind, können betrieblich schwierig sein. Eine reife Organisation plant diese Schwierigkeit vor dem Advisory. Sie hat alternative Fernzugriffsmethoden, Notfallzugriffsregeln, privilegierte Zugriffspfade und Kommunikationspläne. Eine unreife Organisation entdeckt während des Notfalls, dass ihr einziger Fernzugriffspfad der verwundbare Dienst ist.
Der Workaround testet daher die Belastbarkeit. Wenn die Organisation SSL-VPN nicht einmal kurzzeitig deaktivieren kann, hat sie eine einzelne Steuerungsebene. Wenn sie SSL-VPN deaktivieren kann, aber keine kritischen Mitarbeiter unterstützen kann, hat sie ein Kontinuitätsproblem. Wenn sie SSL-VPN aus Geschäftsdruck heraus aktiviert lässt, akzeptiert sie Sicherheitsrisiken. Keine dieser Entscheidungen ist kostenlos.
Fortinets Produktverantwortung besteht darin, klare korrigierte Versionen und realistische Minderungen bereitzustellen. Die Kundenverantwortung besteht darin, eine Zugriffsarchitektur aufzubauen, in der eine Notfallisolierung möglich ist. Die Verantwortung des Angreifers ist die Ausnutzung. Diese Rollen sind unterschiedlich.
... [Rest des Artikels wird fortgesetzt]...

