image

Fortinet: zerodaylek in vpn-software gebruikt tegen overheden

vrijdag 13 januari 2023, 07:42 door Redactie, 11 reacties

Een zerodaylek in FortiOS SSL-VPN, waardoor een aanvaller op afstand kwetsbare vpn-servers kan overnemen, is gebruikt tegen overheden en grote organisaties waarbij de gebruikte malware alle sporen uit de logbestanden kan wissen, zo stelt Fortinet. Een maand geleden kwam Fortinet met een waarschuwing en beveiligingsupdate voor de kwetsbaarheid, aangeduid als CVE-2022-42475. Het beveiligingslek werd al voor het uitkomen van de patch misbruikt.

De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.3. Bij de initiële waarschuwing gaf Fortinet geen details, maar heeft dat in een nieuwe analyse nu wel gedaan. Zo is de kwetsbaarheid, een heap-based buffer overflow in SSLVPNd, gebruikt tegen overheden en grote organisaties. "De complexiteit van de exploit suggereert een geavanceerde actor en een zeer gerichte inzet tegen overheden of overheidsgerelateerde doelwitten", aldus onderzoeker Carl Windsor.

Zodra de aanvallers toegang hebben wordt er malware op de vpn-server geïnstalleerd die het loggingproces van FortiOS aanpast, om zo logbestanden te manipuleren en detectie te voorkomen. FortiOS is het besturingssystemen van Fortinet en draait op de producten van het bedrijf. Zo kan de aanvaller specifieke strings opgeven die uit de logbestanden worden verwijderd. Ook kan de malware het loggingproces uitschakelen.

Volgens Windsor blijkt uit de gebruikte exploit dat de aanvaller een uitgebreide kennis van FortiOS en de onderliggende hardware heeft. "Het gebruik van custom implants laat zien dat de aanvaller over geavanceerde mogelijkheden beschikt, waaronder het reverse engineeren van verschillende onderdelen van FortiOS", aldus de onderzoeker. In de nieuwe analyse over de kwetsbaarheid zijn ook verschillende Indicators of Compromise gegeven, zoals ip-adressen, hashes en bestanden, waarmee organisaties kunnen controleren of ze zijn gecompromitteerd.

Reacties (11)
13-01-2023, 08:15 door Anoniem
Geen probleem, we hebben hier alles achter Citrix NetScalers hangen....
13-01-2023, 08:53 door Anoniem
Tijd voor wireguard, back to basic.
Al die bloat in moderne VPNs zorgt voor een enorm aanvalsoppervlakte.

-W
13-01-2023, 09:37 door Anoniem
Door Anoniem: Tijd voor wireguard, back to basic.
Al die bloat in moderne VPNs zorgt voor een enorm aanvalsoppervlakte.

-W
Is alleen niet echt een Enterprise VPN oplossing. Gaat voornamelijk heel slecht door firewalls heen, omdat de port geen standaard VPN port is.

Juist SSL VPN's hebben hierbij zeer veel voordelen. Of eventueel IPSEC VPN's, dat zijn standaard VPN oplossingen die wel heel vaak goed werken en toegestaan zijn.
13-01-2023, 09:37 door Anoniem
Fortinet is wat mij betreft toch veel te vaak in het nieuws met CVE's en in een aantal gevallen omdat ze hardcoded creds gebruiken in hun software of backdoors voor klanten per ongeluk naar alle klanten sturen. En bedrijven blijven die rommel kopen, ik vind het bijzonder.
13-01-2023, 10:29 door Anoniem
Há, dat krijg je d'rvan als je beleid is om af te zien zeroday-bugs direct te melden bij de betreffende softwareleverancier, maar deze wilt gebruiken om 'terug te hacken'.
Koekje van eigen deeg
Wie met vuur speelt,...moet op de blaren zitten
Het mes s-naait aan 2 kanten
13-01-2023, 10:38 door Anoniem
Door Anoniem:
Juist SSL VPN's hebben hierbij zeer veel voordelen. Of eventueel IPSEC VPN's, dat zijn standaard VPN oplossingen die wel heel vaak goed werken en toegestaan zijn.
Een VPN over TCP (wat je vaak ziet bij SSL VPN's, kan ook over UDP maar ja TCP is makkelijk voor firewall) dat blijft
toch altijd prutswerk. Misschien leuk voor een thuiswerkert die niet te veel tegelijk doet, maar bij serieus gebruik van
het netwerk voor een mix van realtime (voice, video) en background (bulk data) verkeer is het een groot drama.

IPsec is beter wat dat betreft, maar probleemloos zou ik dat niet willen noemen. In een single-vendor omgeving werkt
het goed maar als je 2 verschillende fabrikanten met elkaar wilt laten praten is het vaak zoeken naar de speld van de
opties die ze beiden snappen in de hooiberg van mogelijkheden die niet met elkaar compatible zijn...
13-01-2023, 11:11 door Anoniem
Ik niet. Dat doen ze allemaal in minder of meerdere mate, zelfs Cisco had een aantal jaar geleden opgeslagen credentials. Andere merken zoals bijvoorbeeld SonicWall beloven een hoop maar maken niets waar op performance vlak, afgezien nog van enige instabiliteit.

Tijdig updaten is zoals met ieder product van belang.
13-01-2023, 11:23 door Anoniem
Door Anoniem: Geen probleem, we hebben hier alles achter Citrix NetScalers hangen....


Die zijn de afgelopen periode ook wel wat keertjes "lek" geweest ;-)
13-01-2023, 12:58 door Bitje-scheef
Door Anoniem: Geen probleem, we hebben hier alles achter Citrix NetScalers hangen....
Die lopen alleen gevaar rond Kerstmis.
13-01-2023, 14:48 door Anoniem
We weten wie het merendeel van de technische CEO's levert, niet waar?
Veel oud Intel-unit-leden van de IDF bijvoorbeeld.

Vroeger eens vanachter de sinaasappelkist op de markt en nu in de softe waren gegaan.
Beslist geen sof.

Dan hebben we ook nog de tweede garnituur en die hebben wat minder in het doosje.
De getrainde aapjes zorgen verder voor deze optredende ellende.
13-01-2023, 15:40 door Anoniem
Door Anoniem: Ik niet. Dat doen ze allemaal in minder of meerdere mate, zelfs Cisco had een aantal jaar geleden opgeslagen credentials. Andere merken zoals bijvoorbeeld SonicWall beloven een hoop maar maken niets waar op performance vlak, afgezien nog van enige instabiliteit.

Tijdig updaten is zoals met ieder product van belang.

Gut o gut, wat maken we ons weer druk, was al een maand bekend bij FortiNet: https://www.fortiguard.com/psirt/FG-IR-22-398

Gewoon updaten naar de laatste versie FortiOS, kan Microsoft nog wat van leren.....
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.