Fortinet 揭露了 FortiOS SSL VPN 中的一個新的嚴重安全漏洞，並表示漏洞可能會被廣泛利用。 此漏洞CVE-2024-21762（CVSS 評分：9.6）允許執行任意程式碼和指令。 該公司在周四發布的公告中表示：“FortiOS 中的越界寫入漏洞 [CWE-787] 可能允許未經身份驗證的遠端攻擊者透過特製的 HTTP 請求執行任意程式碼或命令。” 它進一步承認這個問題“可能被廣泛利用”，但沒有提供有關如何武器化以及由誰武器化的更多細節。

以下版本受漏洞影響。值得注意的是，FortiOS 7.6 不受影響。
FortiOS 7.4（版本 7.4.0 至 7.4.2）- 升級至 7.4.3 或更高版本
FortiOS 7.2（版本 7.2.0 至 7.2.6）- 升級至 7.2.7 或更高版本
FortiOS 7.0（版本 7.0.0 至 7.0.13）- 升級至 7.0.14 或更高版本
FortiOS 6.4（版本 6.4.0 至 6.4.14）- 升級至 6.4.15 或更高版本
FortiOS 6.2（版本 6.2.0 至 6.2.15）- 升級至 6.2.16 或更高版本
FortiOS 6.0（版本 6.0 所有版本）- 遷移到固定版本
這項進展正值 Fortinet發布了 CVE-2024-23108 和 CVE-2024-23109 補丁，影響了 FortiSIEM Supervisor，允許未經身份驗證的遠端攻擊者透過精心設計的 API 請求執行未經授權的命令。

本週早些時候，荷蘭政府透露，武裝部隊使用的電腦網路已被中國國家支持的攻擊者滲透，他們利用 Fortinet FortiGate 設備中的已知缺陷發送一個名為 COATHANGER 的後門。 該公司在本週發布的一份報告中透露，其軟體中的 N 天安全漏洞（例如CVE-2022-42475和CVE-2023-27997）正被多個活動集群利用，以針對政府、服務提供商、顧問公司、製造和大型關鍵基礎設施組織。

此前，美國政府就一個名為 Volt Typhoon 的中國民族國家組織發布了一份諮詢報告，該組織利用網路設備中已知的零日缺陷，針對該國的關鍵基礎設施進行長期未被發現的持久性攻擊。來自 Fortinet、Ivanti Connect Secure、NETGEAR、Citrix 和 Cisco 的初始存取。

CISA 確認 CVE-2024-21762 被利用

美國網路安全與基礎設施安全局 (CISA) 於 2024 年 2 月 9 日將 CVE-2024-21762添加到其已知被利用的漏洞 ( KEV ) 目錄中，引用了在野外積極利用的證據。 聯邦民事行政部門 (FCEB) 機構已被授權在 2024 年 2 月 16 日之前應用這些修復程序，以確保其網路免受潛在威脅。

英豈科技建議的方法.

這是2024/02/09 Fortinet PSIRT 資安通報，所有fortigate都會影響，建議昇級訓到目前版本的最新版，不然的話過年期間可先關掉SSL VPN功能。操作方式，請參考下列文件說明：Fortinet SSLVPN 資安漏洞說明 

本文轉自 The Hacker News 02/09/2024 官方文章 / https://thehackernews.com/2024/02/fortinet-warns-of-critical-fortios-ssl.html