Remote Code Execution vulnerability in Fortinet SSL VPN service

Fortinet is op de hoogte zijn van minstens één geval waarin deze kwetsbaarheid met succes is misbruikt, hoewel er zeker ook andere onbekende gevallen kunnen bestaan.

Men maakt gebruik van een kwetsbaarheid om schadelijke bestanden te implementeren op het bestandssysteem van getroffen apparaten.

Bovendien, zoals te zien is in een recente campagne die van invloed is op Fortinet-appliances (CVE-2022-40684), kunnen aanvallers code op afstand uitvoeren in Fortinet-appliances om een van de volgende doelstellingen te bereiken:

• Het configuratiebestand van het toestel openen en downloaden
• Dit omvat en is niet exclusief voor cleartext-regels, beleid, filtering, gebruikersnamen, routeringsconfiguraties en gecodeerde wachtwoorden (gecodeerd via de privé-coderingssleutel).
• Geprivilegieerde beheerdersaccounts maken
• Scripts uploaden en uitvoeren

Potentieel voor wijdverspreide exploitatie

Volgens CISA’s Known Exploited Vulnerabilities Catalog hebben bedreigingsactoren in het verleden gebruik gemaakt van vergelijkbare Fortinet-kwetsbaarheden om initiële toegang te verkrijgen en lateraal binnen de omgeving van een organisatie te bewegen.

We gaan er daarom ook vanuit dat hackers deze kwetsbaarheid op korte termijn actief zullen blijven misbruiken om toegang te verkrijgen tot gevoelige informatie, zoals het configuratiebestand van het apparaat.

Dit dankzij het gemak van exploitatie, het potentieel voor payload en uitvoering en de prevalentie van getroffen Fortinet-apparaten binnen bedrijfsomgevingen.