Fortinet wijzigt haar advisories zonder changelog of zelfs maar een datum van laatste wijziging (dat kan snel tot misverstanden leiden en bovendien vind ik dat geschiedsvervalsing).
Uit
https://www.fortiguard.com/psirt?date=10-2022 blijkt dat Fortinet al op 28 oktober publiceerde dat FortiOS 7.2.1 en 7.2.2 kwetsbaar waren voor de OpenSSL bugs (wat onzin is, de OpenSSL advisory werd 3 dagen later openbaar):
OpenSSL3 CVE-2022-3602 CVE-2022-3786 vulnerabilities
CVE-2022-3602: A buffer overrun can be triggered in X.509 certificate verification, specifically in name constraint check...
FortiOS 7.2.2, 7.2.1Oct 28, 2022
Severity @@@@O High
IR Number: FG-IR-22-419 (
https://www.fortiguard.com/psirt/FG-IR-22-419)
Dat blijkt ook uit de pagina waarnaar verwezen wordt. Verderop kopieer ik de
actuele bovenkant van die pagina, ik begin met gearchiveerde historie daarvan:
1 November, uit
https://web.archive.org/web/20221101060506/https://www.fortiguard.com/psirt/FG-IR-22-419:
IR Number: FG-IR-22-419
Date: Oct 28, 2022
Severity: @@@@@ Critical
CVSSv3 Score: 9.8
Impact: Execute unauthorized code or commands
CVE ID: CVE-xxxx-xxxxx
[...]
7 November, uit
https://archive.vn/T94Ng:
IR Number: FG-IR-22-419
Date: Oct 28, 2022
Severity: @@@@O High
CVSSv3 Score: 7.5
Impact: Execute unauthorized code or commands
CVE ID: CVE-2022-3602
[...]
8 November, uit
https://web.archive.org/web/20221108040512/https://www.fortiguard.com/psirt/FG-IR-22-419:
IR Number: FG-IR-22-419
Date: Oct 28, 2022
Severity: @@@@O High
CVSSv3 Score: 7.5
Impact: Execute unauthorized code or commands
Affected Products: FortiOS : 7.2.2, 7.2.1
[...]
The following products are still under investigation:
FortiOS v7.2.1 and v7.2.2
[...]
(Bovenaan zekerheid, onderaan nog twijfel)
Actueel, uit
https://www.fortiguard.com/psirt/FG-IR-22-419:
IR Number: FG-IR-22-419
Date: Oct 28, 2022
Severity: @@@@O High
CVSSv3 Score: 7.5
Impact: Execute unauthorized code or commands
Affected Products: FortiOS : 7.2.2, 7.2.1
[...]
Affected Products
Vulnerable Products
FortiOS v7.2.1 and v7.2.2
Products Confirmed not Vulnerable
FortiOS all versions up to 7.2.0 (included)
[...]
Zoals ik in mijn vorige post (
https://security.nl/posting/777816) vermeldde, stond er op 11 november
nog niets in de release notes voor FortiOS 7.2.3 over de OpenSSL update en de potentiële risico's die daarmee verholpen zijn.
Ook in de actuele pagina (
https://docs.fortinet.com/document/fortigate/7.2.3/fortios-release-notes/289806/resolved-issues) staat onder het kopje "SSL VPN" niets over de OpenSSL kwetsbaarheid. Je mag zelf ontdekken dat de geheel onderaan toegevoegde Bug ID 855446 voor CVE-2022-3602 en CVE-2022-3786 gefixed zijn door de hier niet vermelde update van OpenSSL. En dat deze, indien de SSL server bereikbaar is vanaf internet, bijna zeker tot een gecompromitteerd Fortigate leidt, en je
daarom 1 maand geleden moest updaten naar 7.2.3.
Advies aan gebruikers van Fortinet producten:
- Check elke dag elke online advisory voor elke softwareversie die je gebruikt - en updates daarvan, grondig op wijzigingen, bijv. met een "diff" utility;
of- Stap over op een fatsoenlijk product.