image

Fortinet waarschuwt voor actief misbruikt zerodaylek in vpn-software

dinsdag 13 december 2022, 09:41 door Redactie, 14 reacties

Fortinet waarschuwt organisaties voor een actief misbruikt zerodaylek in FortiOS SSL-VPN waardoor een aanvaller op afstand kwetsbare vpn-servers kan overnemen. Door het versturen van speciaal geprepareerde requests kan een aanvaller een heap-based buffer overflow veroorzaken en zo code op het systeem uitvoeren. Voor het uitvoeren van de aanval hoeft een aanvaller niet over inloggegevens te beschikken.

De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.3. Fortinet zegt dat het beveiligingslek, aangeduid als CVE-2022-42475, al voor het uitkomen van de beveiligingsupdate actief is aangevallen, maar geeft geen verdere details over het doelwit van de aanvallen. Wel bevat het beveiligingsbulletin informatie waarmee een succesvolle aanval op de vpn-server is te herkennen.

"Kwetsbaarheden in VPN-interfaces kunnen daarom een startpunt bieden om een netwerk binnen te dringen, waarna mogelijk ook andere systemen worden gecompromitteerd. Afhankelijk van de situatie, kan een kwaadwillende op die manier bijvoorbeeld toegang krijgen tot gevoelige informatie of een ransomware-aanval uitvoeren", aldus het Nationaal Cyber Security Centrum (NCSC).

Het NCSC, het Australische Cyber Security Centre en Amerikaanse Cybersecurity and Infrastructure Security Agency roepen organisaties op om de beveiligingsupdate direct te installeren en te controleren of hun vpn-servers niet zijn gecompromitteerd.

Reacties (14)
13-12-2022, 10:07 door Anoniem
Wat ik niet helemaal begrip is dat dit bericht gepubliseerd is op 12 december en het werd al actief aangevallen voordat er een patch beschikbaar is. Maar vervolgens ga ik kijken naar mijn Fortigate (een nieuwe) maar die draait al sinds halverwege november v7.2.3 waar dit probleem al opgelost is. Hoe zo heeft dat ruim een maand moeten duren voordat dit bericht er uitkomt terwijl 7.2.3 release date op 10 november was?
13-12-2022, 10:49 door Anoniem
@anoniem

Volgens mij komt het doordat Fortinet een bericht heeft ontvangen van een daadwerkelijke Gecomprimiteerde FortiGate. dat een kwetsbaarheid als Critical wordt bestempelt is natuurlijk een urgentie, maar nu ligt de nadruk er nog meer bovenop dat deze ook actief wordt misbruikt.
13-12-2022, 11:20 door Anoniem
In de release notes van 7.2.3. stonden een paar CVE meldingen die opgelost waren. Echter ik kon zelf niet achterhalen wat er was opgelost. Maar langzaam, maar zeker wel gaan upgraden naar deze versie wanneer de mogelijkheid er was.

Dat het zolang duurt voordat er een bericht komt wat er is opgelost en hoe belangrijk het is. Dat is mij ook de vraag. Dat er een update uitkomt met daarin opgeloste CVE problemen dan verwacht je wellicht ook een beschrijving waarom maar het kan ook zo zijn dat deze 7.2.3. redelijk kort op de update van 7.2.2 kwam net als bij de 7.0.8 / 7.0.9.

Ik kan het mis hebben maar het lijkt er op zodra er een CVE melding in de release notes staat waar geen informatie nog over beschikbaar is dat je er bijna vanuit moet gaan dat het om een kritisch probleem gaat.
13-12-2022, 11:45 door Anoniem
Door Anoniem: Wat ik niet helemaal begrip is dat dit bericht gepubliseerd is op 12 december en het werd al actief aangevallen voordat er een patch beschikbaar is. Maar vervolgens ga ik kijken naar mijn Fortigate (een nieuwe) maar die draait al sinds halverwege november v7.2.3 waar dit probleem al opgelost is. Hoe zo heeft dat ruim een maand moeten duren voordat dit bericht er uitkomt terwijl 7.2.3 release date op 10 november was?
In de release notes van 7.2.3 werd niet vermeld dat het ging om een security release. Die informatie is gisteren pas gepubliceerd, samen met het feit dat op beperkte schaal misbruik gemaakt wordt van deze kwetsbaarheid.

Afhankelijk van het updatebeleid van organisaties heeft nog niet iedereen 7.2.3 geïnstalleerd omdat het dus geen security update was, waardoor het nu alsnog nodig is te updaten.
13-12-2022, 12:17 door Erik van Straten
Bij elke update die je als leverancier van internet-facing beveiligingsappatatuur uitbrengt, kun je op je vingers natellen dat ook minder vriendelijke mensen gaan bindiffen om te achterhalen wat er gewijzigd is.

Hoe onverantwoordelijk of zelfs laakbaar is het dan, als je een ernstige kwetsbaarheid (zoals een heap-based buffer overflow) hebt verholpen, je besluit dat te verzwijgen in release notes (waardoor beheerders de update uitstellen of overslaan) en er pas ruchtbaarheid aan geeft als aanvallen slagen?
13-12-2022, 13:15 door Anoniem
Door Erik van Straten: Bij elke update die je als leverancier van internet-facing beveiligingsappatatuur uitbrengt, kun je op je vingers natellen dat ook minder vriendelijke mensen gaan bindiffen om te achterhalen wat er gewijzigd is.

Hoe onverantwoordelijk of zelfs laakbaar is het dan, als je een ernstige kwetsbaarheid (zoals een heap-based buffer overflow) hebt verholpen, je besluit dat te verzwijgen in release notes (waardoor beheerders de update uitstellen of overslaan) en er pas ruchtbaarheid aan geeft als aanvallen slagen?

Ik denk dat ze die vuln nog niet kenden toen ze 7.2.3 hebben uitgebracht Erik, zeer waarschijnlijk dat die per toeval is "verholpen" omdat het in een onderdeel zat dat om een andere reden is vervangen/aangepast in 7.2.3. ;-)
13-12-2022, 14:36 door Anoniem
Beste Erik,

SSL is dus ook terdege kwetsbaar voor zekere heap overflow condities, ook op VPNs. Het betrokken IP adres kwam uit op een AS in Beieren.

luntrus
13-12-2022, 15:28 door Anoniem
Door Anoniem: Wat ik niet helemaal begrip is dat dit bericht gepubliseerd is op 12 december en het werd al actief aangevallen voordat er een patch beschikbaar is. Maar vervolgens ga ik kijken naar mijn Fortigate (een nieuwe) maar die draait al sinds halverwege november v7.2.3 waar dit probleem al opgelost is. Hoe zo heeft dat ruim een maand moeten duren voordat dit bericht er uitkomt terwijl 7.2.3 release date op 10 november was?

ja, ik schrok ook al, had een voormelding gekregen van fortinet dat er een patch aan kwam en dat ik tot die tijd ssl vpn moest uitzetten en direct patch geinstalleerd. schrok dus dat ik dacht dat er WEER een lek was met een update NU status...
niet dus..
13-12-2022, 16:30 door Erik van Straten
Door Anoniem: Ik denk dat ze die vuln nog niet kenden toen ze 7.2.3 hebben uitgebracht Erik, zeer waarschijnlijk dat die per toeval is "verholpen" [...]
Ja en nee.

In https://web.archive.org/web/20221111082316/https://docs.fortinet.com/document/fortigate/7.2.3/fortios-release-notes/289806/resolved-issues, van 11 november 2022, staat onderin nog niet waar https://docs.fortinet.com/document/fortigate/7.2.3/fortios-release-notes/289806/resolved-issues mee eindigt (layout aangepast door mij voor de leesbaarheid):
Bug ID: 855446
CVE references: FortiOS 7.2.3 is no longer vulnerable to the following CVE References:
• CVE-2022-3602
• CVE-2022-3786

Beide CVE's staan in de OpenSSL advisory van 1 november https://www.openssl.org/news/secadv/20221101.txt en betreffen een bug bij het parsen van SSL/TLS certificaten.

Waarschijnlijk/hopelijk verkrijg je niet eenvoudig een duidelijk corrupt https servercertificaat, laat staan dat je een firewall zo ver krijgt dat deze verbindt met een kwaadaardige server. Maar je kunt natuurlijk wel je eigen client-certificaat in elkaar knutselen en dat, na zelf daarmee een verbinding te maken en (op expliciet verzoek van die VPN-server) naar die server sturen:
In a TLS server, this can be triggered if the server requests client authentication and a malicious client connects.

Met andere woorden: Fortinet updated OpenSSL in v7.2.3 maar vergeet dat te vermelden, wellicht omdat ze de criticality niet snappen of het bugreport niet gelezen hebben (amateurs).

Oftewel, een supply-chain attack die om te beginnen door Fortinet voorkomen had kunnen en moeten worden.
13-12-2022, 18:13 door Anoniem
Door Anoniem: Wat ik niet helemaal begrip is dat dit bericht gepubliseerd is op 12 december en het werd al actief aangevallen voordat er een patch beschikbaar is. Maar vervolgens ga ik kijken naar mijn Fortigate (een nieuwe) maar die draait al sinds halverwege november v7.2.3 waar dit probleem al opgelost is. Hoe zo heeft dat ruim een maand moeten duren voordat dit bericht er uitkomt terwijl 7.2.3 release date op 10 november was?

ja, ik schrok ook al, had een voormelding gekregen van fortinet dat er een patch aan kwam en dat ik tot die tijd ssl vpn moest uitzetten en direct patch geinstalleerd. schrok dus dat ik dacht dat er WEER een lek was met een update NU status...
niet dus..
13-12-2022, 22:58 door Erik van Straten
Fortinet wijzigt haar advisories zonder changelog of zelfs maar een datum van laatste wijziging (dat kan snel tot misverstanden leiden en bovendien vind ik dat geschiedsvervalsing).

Uit https://www.fortiguard.com/psirt?date=10-2022 blijkt dat Fortinet al op 28 oktober publiceerde dat FortiOS 7.2.1 en 7.2.2 kwetsbaar waren voor de OpenSSL bugs (wat onzin is, de OpenSSL advisory werd 3 dagen later openbaar):
OpenSSL3 CVE-2022-3602 CVE-2022-3786 vulnerabilities
CVE-2022-3602: A buffer overrun can be triggered in X.509 certificate verification, specifically in name constraint check...
FortiOS 7.2.2, 7.2.1
Oct 28, 2022
Severity @@@@O High
IR Number: FG-IR-22-419 (https://www.fortiguard.com/psirt/FG-IR-22-419)
Dat blijkt ook uit de pagina waarnaar verwezen wordt. Verderop kopieer ik de actuele bovenkant van die pagina, ik begin met gearchiveerde historie daarvan:

1 November, uit https://web.archive.org/web/20221101060506/https://www.fortiguard.com/psirt/FG-IR-22-419:
IR Number: FG-IR-22-419
Date: Oct 28, 2022
Severity: @@@@@ Critical
CVSSv3 Score: 9.8
Impact: Execute unauthorized code or commands
CVE ID: CVE-xxxx-xxxxx
[...]

7 November, uit https://archive.vn/T94Ng:
IR Number: FG-IR-22-419
Date: Oct 28, 2022
Severity: @@@@O High
CVSSv3 Score: 7.5
Impact: Execute unauthorized code or commands
CVE ID: CVE-2022-3602
[...]

8 November, uit https://web.archive.org/web/20221108040512/https://www.fortiguard.com/psirt/FG-IR-22-419:
IR Number: FG-IR-22-419
Date: Oct 28, 2022
Severity: @@@@O High
CVSSv3 Score: 7.5
Impact: Execute unauthorized code or commands
Affected Products: FortiOS : 7.2.2, 7.2.1
[...]
The following products are still under investigation:
FortiOS v7.2.1 and v7.2.2
[...]
(Bovenaan zekerheid, onderaan nog twijfel)

Actueel, uit https://www.fortiguard.com/psirt/FG-IR-22-419:
IR Number: FG-IR-22-419
Date: Oct 28, 2022
Severity: @@@@O High
CVSSv3 Score: 7.5
Impact: Execute unauthorized code or commands
Affected Products: FortiOS : 7.2.2, 7.2.1
[...]
Affected Products
Vulnerable Products

FortiOS v7.2.1 and v7.2.2

Products Confirmed not Vulnerable
FortiOS all versions up to 7.2.0 (included)
[...]

Zoals ik in mijn vorige post (https://security.nl/posting/777816) vermeldde, stond er op 11 november nog niets in de release notes voor FortiOS 7.2.3 over de OpenSSL update en de potentiële risico's die daarmee verholpen zijn.

Ook in de actuele pagina (https://docs.fortinet.com/document/fortigate/7.2.3/fortios-release-notes/289806/resolved-issues) staat onder het kopje "SSL VPN" niets over de OpenSSL kwetsbaarheid. Je mag zelf ontdekken dat de geheel onderaan toegevoegde Bug ID 855446 voor CVE-2022-3602 en CVE-2022-3786 gefixed zijn door de hier niet vermelde update van OpenSSL. En dat deze, indien de SSL server bereikbaar is vanaf internet, bijna zeker tot een gecompromitteerd Fortigate leidt, en je daarom 1 maand geleden moest updaten naar 7.2.3.

Advies aan gebruikers van Fortinet producten:
- Check elke dag elke online advisory voor elke softwareversie die je gebruikt - en updates daarvan, grondig op wijzigingen, bijv. met een "diff" utility;
of
- Stap over op een fatsoenlijk product.
13-12-2022, 23:09 door Anoniem
Scannen is weten, bijv. met vulners:
https://vulners.com/nessus/SSL_CERTIFICATE_CHAIN.NASL en niet met 1 maar 5 ssl scanners.

luntrus
15-12-2022, 06:16 door Anoniem
Alles wordt de eindgebruiker steeds meer uit handen genomen.
Daardoor ontstaat een a priori nog onveiliger situatie.
Hoe groot moet de chaos worden eer er globaal orde kan worden geschapen?

Hoe gaat deze digitale apocalypse eruit zien?
Moet het net down vanwege niet meer te hanteren cybercrime en corruptie?

Hoe wordt ons leven in smart city onder totale controle en surveillance?
Ziet nu echt niemand wat er dreigt aan de digitale horizon?
15-12-2022, 12:51 door Anoniem
Door Erik van Straten: Fortinet wijzigt haar advisories zonder changelog of zelfs maar een datum van laatste wijziging (dat kan snel tot misverstanden leiden en bovendien vind ik dat geschiedsvervalsing).

[knip details van heel erg low-key release notes en stille updates ervan]

Advies aan gebruikers van Fortinet producten:
- Check elke dag elke online advisory voor elke softwareversie die je gebruikt - en updates daarvan, grondig op wijzigingen, bijv. met een "diff" utility;
of
- Stap over op een fatsoenlijk product.

Zouden ze hier op Chinese (of Russiche) fora nu "beslist" de NSA achter zien zitten ?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.