CVE-2024-21762

Суть уязвимости

CVE-2024-21762 — это критическая уязвимость типа Out-of-bounds Write (запись за пределами границ буфера) в компоненте SSL VPN устройства Fortinet FortiOS. Ошибка возникает при обработке специально сформированных HTTP-запросов.

Уязвимость позволяет удаленному неавторизованному злоумышленнику выполнить произвольный код или команды на устройстве (RCE) с правами суперпользователя. Данная брешь имеет оценку 9.8 по шкале CVSS v3.1 и активно эксплуатируется «в дикой природе».

Как исправить

Основным и рекомендуемым способом устранения является обновление прошивки FortiOS до актуальной версии, в которой данная ошибка исправлена.

1. Проверьте текущую версию прошивки:

get system status

1. Если ваша версия находится в списке уязвимых, обновитесь до соответствующей исправленной версии:
2. FortiOS 7.4: обновитесь до 7.4.3 или выше.
3. FortiOS 7.2: обновитесь до 7.2.7 или выше.
4. FortiOS 7.0: обновитесь до 7.0.14 или выше.
5. FortiOS 6.4: обновитесь до 6.4.15 или выше.

6. FortiOS 6.2: обновитесь до 6.2.16 или выше.

7. Выполните обновление через CLI (при наличии настроенного доступа к серверам FortiGuard):

execute restore config http <url_to_image>

Примечание: Рекомендуется выполнять обновление через Web GUI в разделе System -> Firmware для автоматической проверки цепочки обновлений.

Временные меры

Если немедленное обновление невозможно, необходимо полностью отключить функционал SSL VPN на устройстве. Отключение только режима "Web Mode" недостаточно для полной защиты.

1. Отключите SSL VPN на всех интерфейсах:

config vpn ssl settings
set status disable
end

1. Если вы используете FortiProxy, необходимо также отключить SSL VPN:

config vpn ssl settings
set status disable
end

1. В качестве альтернативы для удаленного доступа рекомендуется временно перейти на использование IPsec VPN (IKEv2), который не подвержен данной уязвимости.