Het is belangrijk voor uw organisatie om ten minste de volgende stappen te nemen: Indien uw organisatie gebruikmaakt van FortiGate/FortiProxy adviseert NFIR om vast te stellen of uw systemen kwetsbaar zijn. Controleer hiervoor de FortiOS/FortiProxy-versie van de aanwezige systemen binnen uw netwerkomgeving; Indien er indicaties zijn dat uw systemen kwetsbaar zijn adviseert NFIR om forensisch onderzoek uit te laten voeren om vast te stellen of uw omgeving gecompromitteerd is. Indien uw systemen kwetsbaar zijn adviseert NFIR om de getroffen systemen te updaten naar versies welke niet langer kwetsbaar zijn; Controleer (indien beschikbaar) publiek beschikbare Indicators-of-Compromise (IoC’s) op uw systemen om vast te stellen of er systemen mogelijk gecompromitteerd zijn, of laat extern preventief onderzoek uitvoeren naar uw systemen; Zijn uw systemen kwetsbaar en heeft u systemen waarvan het risico groot is (bijvoorbeeld systemen met zeer gevoelige of bijzondere persoonsgegevens)? Zo ja, heeft u mogelijk indicaties dat het systeem niet direct gemitigeerd en/of geüpdatet kan worden? Overweeg dan om het systeem tijdelijk uit te schakelen totdat deze geüpdatet kan worden.

Fortinet Fortigate VPN-SSL-kwetsbaarheden (CVE-2023-27997)

Beschrijving CVE-2023-27997

Op 12 juni 2023 heeft Fortiguard Labs aangegeven meerdere kwetsbaarheden te hebben opgelost in meerdere versies van FortiOS. Eén van deze kwetsbaarheden, CVE-2023-27997 – ook wel Xortigate genoemd, betreft een heap-based buffer overflow kwetsbaarheid in FortiOS en FortiProxy SSL-VPN. Met deze kwetsbaarheid kan een aanvaller malafide code uitvoeren op de getroffen systemen. Door de ernst van de impact heeft het NCSC de ernst van de kwetsbaarheid ingeschaald op Hoog/Hoog.

FortiOS is een netwerkbesturingssysteem voor next-generation firewalls (NGFW’s), access-points, switches en Network Access Control (NAC)-oplossingen. FortiProxy is een webproxy die beschermt tegen aanvallen vanaf internet door meerdere detectietechnieken zoals web-filtering, DNS-filtering, preventie van gegevensverlies en antivirus. De getroffen versies van FortiOS/FortiProxy betreffen tenminste de volgende:

Product	Platform	CVSS-score
Tenminste FortiOS-6K7K versie 7.0.10 FortiOS-6K7K versie 7.0.5 FortiOS-6K7K versie 6.4.12 FortiOS-6K7K versie 6.4.10 FortiOS-6K7K versie 6.4.8 FortiOS-6K7K versie 6.4.6 FortiOS-6K7K versie 6.4.2 FortiOS-6K7K versie 6.2.9 t/m 6.2.13 FortiOS-6K7K versie 6.2.6 t/m 6.2.7 FortiOS-6K7K versie 6.2.4 FortiOS-6K7K versie 6.0.12 t/m 6.0.16 FortiOS-6K7K versie 6.0.10	FortiOS	9.8 – Kritiek
Tenminste FortiProxy versie 7.2.0 t/m 7.2.3 FortiProxy versie 7.0.0 t/m 7.0.9 FortiProxy versie 2.0.0 t/m 2.0.12 FortiProxy 1.2 alle versies FortiProxy 1.1 alle versies	FortiProxy	9.8 – Kritiek
Tenminste FortiOS versie 7.2.0 t/m 7.2.4 FortiOS versie 7.0.0 t/m 7.0.11 FortiOS versie 6.4.0 t/m 6.4.12 FortiOS versie 6.2.0 t/m 6.2.13 FortiOS versie 6.0.0 t/m 6.0.16	FortiOS	9.8 – Kritiek

Tabel 1: Overzicht van de getroffen producten NFIR adviseert om vast te stellen of de kwetsbare versies van FortiOS/FortiProxy zoals hierboven beschreven aanwezig zijn op systemen binnen uw organisatie. Indien u een kwetsbare versie constateert, adviseert NFIR om incident response & digitaal forensisch onderzoek uit te laten voeren om te achterhalen of er sporen van misbruik van de kwetsbaarheid zijn.

Acuut hulp nodig? Bel dan onze 24/7 CERT-lijn via 088 133 0700 en wij doen ons uiterste best om u zo snel mogelijk te helpen.

Updates

Door Fortiguard Labs zijn de volgende versies van FortiOS/FortiProxy gepubliceerd welke niet langer kwetsbaar zijn voor CVE-2023-27997:

Product	Platform
FortiOS-6K7K versie 7.0.12 of hoger FortiOS-6K7K versie 6.4.13 of hoger FortiOS-6K7K versie 6.2.15 of hoger FortiOS-6K7K versie 6.0.17 of hoger	FortiOS
FortiProxy versie 7.2.4 of hoger FortiProxy versie 7.0.10 of hoger	FortiProxy
FortiOS versie 7.4.0 of hoger FortiOS versie 7.2.5 of hoger FortiOS versie 7.0.12 of hoger FortiOS versie 6.4.13 of hoger FortiOS versie 6.2.14 of hoger FortiOS versie 6.0.17 of hoger	FortiOS

Tabel 2 – FortiOS/FortiProxy update-versies

Actieplan

Het is belangrijk voor uw organisatie om ten minste de volgende stappen te nemen:

Indien uw organisatie gebruikmaakt van FortiGate/FortiProxy adviseert NFIR om vast te stellen of uw systemen kwetsbaar zijn. Controleer hiervoor de FortiOS/FortiProxy-versie van de aanwezige systemen binnen uw netwerkomgeving;
Indien er indicaties zijn dat uw systemen kwetsbaar zijn adviseert NFIR om forensisch onderzoek uit te laten voeren om vast te stellen of uw omgeving gecompromitteerd is.
Indien uw systemen kwetsbaar zijn adviseert NFIR om de getroffen systemen te updaten naar versies welke niet langer kwetsbaar zijn;
Controleer (indien beschikbaar) publiek beschikbare Indicators-of-Compromise (IoC’s) op uw systemen om vast te stellen of er systemen mogelijk gecompromitteerd zijn, of laat extern preventief onderzoek uitvoeren naar uw systemen;

Zijn uw systemen kwetsbaar en heeft u systemen waarvan het risico groot is (bijvoorbeeld systemen met zeer gevoelige of bijzondere persoonsgegevens)? Zo ja, heeft u mogelijk indicaties dat het systeem niet direct gemitigeerd en/of geüpdatet kan worden? Overweeg dan om het systeem tijdelijk uit te schakelen totdat deze geüpdatet kan worden.

Wat moet mijn organisatie doen als zij getroffen is?

Als uw organisatie vermoedelijk slachtoffer is geworden van een aanval middels deze kwetsbaarheid, is het dringende advies om onderzoek uit te laten voeren naar de toedracht van het incident, in hoeverre aanvallers mogelijk andere systemen hebben gecompromitteerd en welke informatie mogelijk ongeautoriseerd geraadpleegd is.

Koppel indien mogelijk de getroffen systemen los van het netwerk, maar laat deze aanstaan (in verband met eventuele sporen zoals het vluchtige geheugen – RAM);
Laat de getroffen systemen forensisch onderzoeken;
Zorg voor adequate back-ups;
Reset uw wachtwoorden en gebruikersgegevens;
Doe aangifte bij de Politie;
Overweeg een melding te doen bij de Autoriteit Persoonsgegevens.

Heeft uw organisatie op dit moment een incident? Onze Computer Emergency Response Teams (CERT) staan 24/7 voor organisaties klaar om te ondersteunen bij IT- Security Incidenten.

Heeft uw organisatie op dit moment een incident? Onze Computer Emergency Response Teams (CERT) staan 24/7 voor organisaties klaar om te ondersteunen bij IT- Security Incidenten.
Bel dan 088 133 0700 en wij doen ons uiterste best om u zo snel mogelijk te helpen. Hier vindt u meer informatie over onze Incident Response dienst.

Disclaimer: NFIR heeft er alles aan gedaan om deze informatie accuraat en betrouwbaar te maken. De verstrekte informatie is echter zonder enige garantie van welke aard dan ook en het gebruik ervan is geheel voor risico van de gebruiker. NFIR aanvaardt geen enkele verantwoordelijkheid of aansprakelijkheid voor de juistheid, de inhoud, de volledigheid, de rechtmatigheid of de betrouwbaarheid van de verstrekte informatie.

Heeft u te maken met een beveiligingsincident?

Heeft u IT-Security vragen?

Heeft u het NFIR Cyber Security Support Contract afgenomen?