Fortinet heeft verschillende patches uitgebracht van FortiOS, het OS/firmware dat de Fortigate firewalls en andere apparaten aanstuurt, zonder te vermelden dat deze een fix bevatten voor CVE-2023-27997, een RCE-fout (Remote Code Execution) waarbij de aanvaller niet ingelogd hoeft te zijn om deze te misbruiken.
Hoewel dit dus niet wordt vermeld in de release notes, hebben beveiligingsprofessionals en beheerders laten doorschemeren dat de updates stilletjes een kritieke SSL-VPN RCE kwetsbaarheid verhelpen die zou worden onthuld op dinsdag 13 juni 2023.
De kwetsbaarheid is verholpen in FortiOS versies 7.2.5, 7.0.12, 6.4.13, 6.2.15 en blijkbaar ook in v6.0.17 (ook al is Fortinet vorig jaar officieel gestopt met de ondersteuning van de 6.0-tak).
Enterprise beheerders wordt geadviseerd om Fortigate apparaten zo snel mogelijk te upgraden – als de kwetsbaarheid nog niet wordt uitgebuit door aanvallers, zal dat waarschijnlijk binnenkort wel gebeuren.
Meer via https://thehackernews.com/2023/06/critical-rce-flaw-discovered-in.html
Update van Fortinet: https://www.fortiguard.com/psirt/FG-IR-23-097
