Beveiligingsadvies NCSC-2024-0494 [1.00] [M/H] Kwetsbaarheid verholpen in Fortinet FortiWLM
Kwetsbaarheid in Fortinet FortiWLM Opgelost
Fortinet heeft een beveiligingslek in hun FortiWLM-product verholpen, dat specifiek versies 8.6.0 tot 8.6.5 en 8.5.0 tot 8.5.4 treft. Dit lek stelde kwaadwillenden in staat om, zonder authentificatie, ongeautoriseerde code uit te voeren via speciaal samengestelde webverzoeken. Dit kon leiden tot ongeautoriseerde toegang tot gevoelige bestanden binnen de betrokken systemen. FortiWLM, een module voor FortiManager, is ontworpen voor het beheer van draadloze netwerken die via FortiGate worden ontsloten. Het probleem betrof de functionaliteit van relatieve pad-traversal, waarbij kwaadwillenden, mits ze toegang hadden tot de beheerde infrastructuur via FortiManager, potentieel schade konden veroorzaken.
Kenmerken van de Kwetsbaarheid
De kwetsbaarheden betroffen onder andere:
- Improper Control of Generation of Code (‘Code Injection’): Dit betekent dat aanvallers via onjuist gecontroleerde invoer eigen schadelijke code kunnen uitvoeren.
- Relative Path Traversal: Dit stelt aanvallers in staat om toegang te verkrijgen tot ongeautoriseerde paden buiten de toegewezen directory.
Risico’s
- Kans van Exploitatie: Medium
- Gevolgen van Exploitatie: Hoog
Bereik van de Kwetsbaarheid
Het beveiligingsrisico is van toepassing op Fortinet FortiWLM-producten binnen de genoemde versie-reeksen, en potentieel op iedere infrastructuur die hiermee wordt beheerd.
Oplossingen en Aanbevelingen
Fortinet heeft updates uitgebracht die deze kwetsbaarheid aanpakken. Gebruikers wordt dringend aangeraden de aanbevolen patches en updates zo snel mogelijk te installeren om risico’s te minimaliseren. Voor meer informatie kan de FortiGuard-website worden geraadpleegd.
CVE-verwijzing
De gerapporteerde kwetsbaarheid staat geregistreerd onder de CVE-identifier:
Documenten en Bronnen
Rapporten en details over deze kwetsbaarheid zijn beschikbaar in verschillende formaten:
Bij gebruik van deze informatie als beveiligingsadvies gaat u akkoord met de voorwaarden zoals door het NCSC gesteld. Hoewel het NCSC er alles aan doet om accurate en actuele informatie te verstrekken, garandeert het geen volledigheid of juistheid. Het advies is bedoeld als algemene informatie voor professionals en is niet bindend. Het NCSC en de Staat zijn derhalve niet aansprakelijk voor schade die kan voortvloeien uit het gebruik van het advies. Nederlandse wetgeving is van toepassing, en geschillen zullen worden voorgelegd aan de bevoegde rechter in Den Haag.
Voor meer informatie over de adviezen en richtlijnen van het NCSC, verwijzen wij u naar hun officiële website.
Een beveiligingsadvies wordt door het NCSC gepubliceerd naar aanleiding van een recent gevonden kwetsbaarheid of geconstateerde dreiging. In een beveiligingsadvies staat de beschrijving, de mogelijke gevolgen en mogelijke oplossingen van de kwetsbaarheid of dreiging.
Mitigerende maatregel beschikbaar op advisories.ncsc.nl
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----