Wat ik niet helemaal begrip is dat dit bericht gepubliseerd is op 12 december en het werd al actief aangevallen voordat er een patch beschikbaar is. Maar vervolgens ga ik kijken naar mijn Fortigate (een nieuwe) maar die draait al sinds halverwege november v7.2.3 waar dit probleem al opgelost is. Hoe zo heeft dat ruim een maand moeten duren voordat dit bericht er uitkomt terwijl 7.2.3 release date op 10 november was?

@anoniem

Volgens mij komt het doordat Fortinet een bericht heeft ontvangen van een daadwerkelijke Gecomprimiteerde FortiGate. dat een kwetsbaarheid als Critical wordt bestempelt is natuurlijk een urgentie, maar nu ligt de nadruk er nog meer bovenop dat deze ook actief wordt misbruikt.

In de release notes van 7.2.3. stonden een paar CVE meldingen die opgelost waren. Echter ik kon zelf niet achterhalen wat er was opgelost. Maar langzaam, maar zeker wel gaan upgraden naar deze versie wanneer de mogelijkheid er was.

Dat het zolang duurt voordat er een bericht komt wat er is opgelost en hoe belangrijk het is. Dat is mij ook de vraag. Dat er een update uitkomt met daarin opgeloste CVE problemen dan verwacht je wellicht ook een beschrijving waarom maar het kan ook zo zijn dat deze 7.2.3. redelijk kort op de update van 7.2.2 kwam net als bij de 7.0.8 / 7.0.9.

Ik kan het mis hebben maar het lijkt er op zodra er een CVE melding in de release notes staat waar geen informatie nog over beschikbaar is dat je er bijna vanuit moet gaan dat het om een kritisch probleem gaat.

In de release notes van 7.2.3 werd niet vermeld dat het ging om een security release. Die informatie is gisteren pas gepubliceerd, samen met het feit dat op beperkte schaal misbruik gemaakt wordt van deze kwetsbaarheid.

Afhankelijk van het updatebeleid van organisaties heeft nog niet iedereen 7.2.3 geïnstalleerd omdat het dus geen security update was, waardoor het nu alsnog nodig is te updaten.

Bij elke update die je als leverancier van internet-facing beveiligingsappatatuur uitbrengt, kun je op je vingers natellen dat ook minder vriendelijke mensen gaan bindiffen om te achterhalen wat er gewijzigd is.

Hoe onverantwoordelijk of zelfs laakbaar is het dan, als je een ernstige kwetsbaarheid (zoals een heap-based buffer overflow) hebt verholpen, je besluit dat te verzwijgen in release notes (waardoor beheerders de update uitstellen of overslaan) en er pas ruchtbaarheid aan geeft als aanvallen slagen?

Ik denk dat ze die vuln nog niet kenden toen ze 7.2.3 hebben uitgebracht Erik, zeer waarschijnlijk dat die per toeval is "verholpen" omdat het in een onderdeel zat dat om een andere reden is vervangen/aangepast in 7.2.3. ;-)

Beste Erik,

SSL is dus ook terdege kwetsbaar voor zekere heap overflow condities, ook op VPNs. Het betrokken IP adres kwam uit op een AS in Beieren.

luntrus

ja, ik schrok ook al, had een voormelding gekregen van fortinet dat er een patch aan kwam en dat ik tot die tijd ssl vpn moest uitzetten en direct patch geinstalleerd. schrok dus dat ik dacht dat er WEER een lek was met een update NU status...
niet dus..

Ja en nee.

In https://web.archive.org/web/20221111082316/https://docs.fortinet.com/document/fortigate/7.2.3/fortios-release-notes/289806/resolved-issues, van 11 november 2022, staat onderin nog niet waar https://docs.fortinet.com/document/fortigate/7.2.3/fortios-release-notes/289806/resolved-issues mee eindigt (layout aangepast door mij voor de leesbaarheid):

Beide CVE's staan in de OpenSSL advisory van 1 november https://www.openssl.org/news/secadv/20221101.txt en betreffen een bug bij het parsen van SSL/TLS certificaten.

Waarschijnlijk/hopelijk verkrijg je niet eenvoudig een duidelijk corrupt https servercertificaat, laat staan dat je een firewall zo ver krijgt dat deze verbindt met een kwaadaardige server. Maar je kunt natuurlijk wel je eigen client-certificaat in elkaar knutselen en dat, na zelf daarmee een verbinding te maken en (op expliciet verzoek van die VPN-server) naar die server sturen:

Met andere woorden: Fortinet updated OpenSSL in v7.2.3 maar vergeet dat te vermelden, wellicht omdat ze de criticality niet snappen of het bugreport niet gelezen hebben (amateurs).

Oftewel, een supply-chain attack die om te beginnen door Fortinet voorkomen had kunnen en moeten worden.

ja, ik schrok ook al, had een voormelding gekregen van fortinet dat er een patch aan kwam en dat ik tot die tijd ssl vpn moest uitzetten en direct patch geinstalleerd. schrok dus dat ik dacht dat er WEER een lek was met een update NU status...
niet dus..

Fortinet wijzigt haar advisories zonder changelog of zelfs maar een datum van laatste wijziging (dat kan snel tot misverstanden leiden en bovendien vind ik dat geschiedsvervalsing).

Uit https://www.fortiguard.com/psirt?date=10-2022 blijkt dat Fortinet al op 28 oktober publiceerde dat FortiOS 7.2.1 en 7.2.2 kwetsbaar waren voor de OpenSSL bugs (wat onzin is, de OpenSSL advisory werd 3 dagen later openbaar):
Dat blijkt ook uit de pagina waarnaar verwezen wordt. Verderop kopieer ik de actuele bovenkant van die pagina, ik begin met gearchiveerde historie daarvan:

1 November, uit https://web.archive.org/web/20221101060506/https://www.fortiguard.com/psirt/FG-IR-22-419:

7 November, uit https://archive.vn/T94Ng:

8 November, uit https://web.archive.org/web/20221108040512/https://www.fortiguard.com/psirt/FG-IR-22-419:
(Bovenaan zekerheid, onderaan nog twijfel)

Actueel, uit https://www.fortiguard.com/psirt/FG-IR-22-419:

Zoals ik in mijn vorige post (https://security.nl/posting/777816) vermeldde, stond er op 11 november nog niets in de release notes voor FortiOS 7.2.3 over de OpenSSL update en de potentiële risico's die daarmee verholpen zijn.

Ook in de actuele pagina (https://docs.fortinet.com/document/fortigate/7.2.3/fortios-release-notes/289806/resolved-issues) staat onder het kopje "SSL VPN" niets over de OpenSSL kwetsbaarheid. Je mag zelf ontdekken dat de geheel onderaan toegevoegde Bug ID 855446 voor CVE-2022-3602 en CVE-2022-3786 gefixed zijn door de hier niet vermelde update van OpenSSL. En dat deze, indien de SSL server bereikbaar is vanaf internet, bijna zeker tot een gecompromitteerd Fortigate leidt, en je daarom 1 maand geleden moest updaten naar 7.2.3.

Advies aan gebruikers van Fortinet producten:
- Check elke dag elke online advisory voor elke softwareversie die je gebruikt - en updates daarvan, grondig op wijzigingen, bijv. met een "diff" utility;
of
- Stap over op een fatsoenlijk product.

Scannen is weten, bijv. met vulners:
https://vulners.com/nessus/SSL_CERTIFICATE_CHAIN.NASL en niet met 1 maar 5 ssl scanners.

luntrus

Alles wordt de eindgebruiker steeds meer uit handen genomen.
Daardoor ontstaat een a priori nog onveiliger situatie.
Hoe groot moet de chaos worden eer er globaal orde kan worden geschapen?

Hoe gaat deze digitale apocalypse eruit zien?
Moet het net down vanwege niet meer te hanteren cybercrime en corruptie?

Hoe wordt ons leven in smart city onder totale controle en surveillance?
Ziet nu echt niemand wat er dreigt aan de digitale horizon?

Zouden ze hier op Chinese (of Russiche) fora nu "beslist" de NSA achter zien zitten ?