Zerodaylek in Fortinet FortiOS gebruikt voor aanvallen op overheden
Een vorige week verholpen kwetsbaarheid in Fortinet FortiOS is al voor het uitkomen van de beveiligingsupdate gebruikt bij zeroday-aanvallen op overheden, zo heeft Fortinet zelf bekendgemaakt. De kwetsbaarheid, aangeduid als CVE-2022-41328, maakt path traversal in execute command mogelijk. Hierdoor kan een aanvaller via command line commando's willekeurige bestanden lezen en schrijven.
Fortinet ontdekte het probleem nadat meerdere systemen bij een klant niet meer konden opstarten. Verder onderzoek wees uit dat een aanvaller de firmware-image van het Fortinet-apparaat had aangepast. Via de aanpassing is permanente toegang en controle mogelijk. De apparatuur controleert, wanneer de Federal Information Processing Standards (FIPS staat ingeschakeld, tijdens het opstarten de integriteit van de firmware. Wanneer de integriteitscontrole niet slaagt zal het systeem niet opstarten, wat tot het onderzoek van Fortinet leidde.
Op basis van de logbestanden bleek dat de aanvaller misbruik van path traversal maakte. Via de gebruikte exploit was het mogelijk om via een TFTP-server willekeurige bestanden naar het FortiGate-apparaat te uploaden en die vervolgens uit te voeren. Fortinet stelt dat de gebruikte exploit een uitgebreide kennis van FortiOS en de onderliggende hardware suggereert.
Daarnaast toont de gebruikte malware dat de aanvaller geavanceerde mogelijkheden heeft, waaronder het reverse engineeren van verschillende onderdelen van FortiOS, zo laat Fortinet verder weten. Het netwerkbedrijf stelt daarnaast dat het om een zeer gerichte aanval tegen specifieke overheden ging. Verdere details over de doelwitten zijn niet gegeven.
Dit komt wel erg amateuristisch over allemaal...
Dit komt wel erg amateuristisch over allemaal...
Goed idee, dan blijven er 0 vendors over! Volgens mij snap jij niet helemaal dat zo ongeveer elk systeem wel kwetsbaarheden bevat die onwijs lastig zijn om te ontdekken. Vendors vermijden omdat er een keer een lek is gevonden is totaal niet realistisch. Het is veel belangrijker om bij vendors in de gaten te houden hoe adequaat ze reageren op dit soort lekken en of zij het onderzoeken en melden daarvan belonen of niet.
Dit komt wel erg amateuristisch over allemaal...
Hoewel ik ook vind dat er strengere acties zouden moeten genomen worden tegen dergelijke "fouten" dnek ik dat een zwarte lijst ons tot de oertijd zal katapulteren. Welk hard of software leverancier is nog nooit het slachtoffer geworden van knullige zero-days. Meestal is de oorzaak te wijten aan het aantal teams die werken aan updates maar zolang er geen deftige QC is dan krijgt je dergelijke zaken.
Vroeger update men omdat het nodig was voor verbetering maar dag daags zegt men nu om niet de laatste versie te installeren omdat er wel dingen zijn die dan wel of niet meer werken.
Dit zegt veel over de huidige QC van de leveranciers en het vertrouwen dat we nog hebben in de leveranciers
Vroeger update men omdat het nodig was voor verbetering maar dag daags zegt men nu om niet de laatste versie te installeren omdat er wel dingen zijn die dan wel of niet meer werken.
Dit zegt veel over de huidige QC van de leveranciers en het vertrouwen dat we nog hebben in de leveranciers
Software is tegenwoordig ook gigantisch complex vergeleken met vroeger. Zelfs met nagenoeg perfect QC ga je simpelweg niet alle mogelijke bugs ontdekken. Voor bijvoorbeeld OS'en is dat nog veel moeilijker dan een stuk software.
Het is veel nuttiger om te kijken hoe bedrijven reageren tegenwoordig dan naar hoeveel bugs ze hebben.
Dit komt wel erg amateuristisch over allemaal...
Hoewel ik ook vind dat er strengere acties zouden moeten genomen worden tegen dergelijke "fouten" dnek ik dat een zwarte lijst ons tot de oertijd zal katapulteren. Welk hard of software leverancier is nog nooit het slachtoffer geworden van knullige zero-days. Meestal is de oorzaak te wijten aan het aantal teams die werken aan updates maar zolang er geen deftige QC is dan krijgt je dergelijke zaken.
Precies. Daarom op de zwarte lijst (dreigen te) plaatsen zodat men dit goed inregelt.
Een path traversal lek daar kun je als leverancier echt niet meer mee aankomen vandaag de dag!
Vroeger update men omdat het nodig was voor verbetering maar dag daags zegt men nu om niet de laatste versie te installeren omdat er wel dingen zijn die dan wel of niet meer werken.
Dit zegt veel over de huidige QC van de leveranciers en het vertrouwen dat we nog hebben in de leveranciers
Software is tegenwoordig ook gigantisch complex vergeleken met vroeger. Zelfs met nagenoeg perfect QC ga je simpelweg niet alle mogelijke bugs ontdekken. Voor bijvoorbeeld OS'en is dat nog veel moeilijker dan een stuk software.
Het is veel nuttiger om te kijken hoe bedrijven reageren tegenwoordig dan naar hoeveel bugs ze hebben.
Maar sommige bedrijven houden zich al niet eens aan de basis regels qua software development / security, zoals een Fortinet waarbij al meerdere keren hardcoded credentials / keys zijn gevonden in hun software en ze bewust backdoors voor klanten maken die uiteindelijk ook "per ongeluk" bij de rest van de klanten worden uitgerold. Ja software is moeillijk, maar de slechte kwaliteit van Fortinet heeft hele andere redenen waardoor deze op een blacklist zou moeten komen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
