image

Fortinet vpn-servers via kritieke kwetsbaarheid op afstand over te nemen

maandag 12 juni 2023, 09:31 door Redactie, 17 reacties

Een kritieke kwetsbaarheid in Fortigate vpn-servers van Fortinet maakt het mogelijk voor een ongeauthenticeerde aanvaller om de apparaten op afstand over te nemen. Fortinet heeft beveiligingsupdates beschikbaar gemaakt. Details over het beveiligingslek, aangeduid als CVE-2023-27997, zijn niet door het bedrijf gegeven. Volgens het Australische Cyber Security Centre (ACSC) is het mogelijk om via het lek willekeurige code en ongeautoriseerde acties uit te voeren.

De kwetsbaarheid werd gevonden door onderzoekers Charles Fol en Dany Bach. Die laten weten dat het om een "preauthentication" remote code execution kwetsbaarheid gaat. Dat houdt in dat het apparaat alleen voor de aanvaller benaderbaar hoeft te zijn om de aanval uit te voeren. Inloggegevens zijn niet vereist. De onderzoekers zeggen later met verdere details te komen. Op de website van Fortinet zelf is op dit moment niets over de kwetsbaarheid te vinden.

De Fortinet Fortigate is een firewall-oplossing die over vpn-functionaliteit beschikt. Het ACSC stelt dat de kwetsbaarheid zich alleen voordoet wanneer de vpn-functie is ingeschakeld. Onlangs waarschuwden Microsoft en de Amerikaanse overheid dat vitale Amerikaanse infrastructuur het doelwit was geworden van een uit China opererende spionagegroep. Die wist organisaties op onbekende wijze via Fortinet FortiGuard-apparaten te compromitteren om vervolgens informatie te stelen. Microsoft liet weten dat het nog aan het onderzoeken was hoe de aanvallers toegang tot de FortiGuard-apparaten hadden gekregen.

Reacties (17)
12-06-2023, 09:41 door Pieter Stoffelen
Als ik het goed begrijp werkt de kwetsbaarheid ook als userrnaam / password niet bekend is, en ook als MFA geactiveerd is. Kortom ASAP firmware updaten!
12-06-2023, 09:50 door Anoniem
Zullen we hetzelfde roepen wat we zouden roepen als het een Chinese firewall appliance was ?
12-06-2023, 09:55 door Anoniem
Door Pieter Stoffelen: Als ik het goed begrijp werkt de kwetsbaarheid ook als userrnaam / password niet bekend is, en ook als MFA geactiveerd is. Kortom ASAP firmware updaten!

En welke update is gepatched? Welke versie is kwetsbaar? Ik zie geen enkel detail. Moet ik nu de stekker eruit trekken?
12-06-2023, 10:14 door Anoniem
Door Anoniem:
Door Pieter Stoffelen: Als ik het goed begrijp werkt de kwetsbaarheid ook als userrnaam / password niet bekend is, en ook als MFA geactiveerd is. Kortom ASAP firmware updaten!

En welke update is gepatched? Welke versie is kwetsbaar? Ik zie geen enkel detail. Moet ik nu de stekker eruit trekken?

Wellicht even op de link van het ACSC klikken, daar staat de info die tot nu toe beschikbaar is. Alle versies behalve de laatste worden voor nu vulnerable geacht.
12-06-2023, 10:16 door Anoniem
ACSC geeft die informatie en de link staat in het nieuwsitem. Na de klik of aanraking kun jij lezen:

Security fixes were included in FortiOS firmware versions released on Friday, 9 June 2023. Fixed versions of FortiOS are:

6.0.17
6.2.15
6.4.13
7.0.12
7.2.5
12-06-2023, 10:24 door tomm
Door Anoniem:
Door Pieter Stoffelen: Als ik het goed begrijp werkt de kwetsbaarheid ook als userrnaam / password niet bekend is, en ook als MFA geactiveerd is. Kortom ASAP firmware updaten!

En welke update is gepatched? Welke versie is kwetsbaar? Ik zie geen enkel detail. Moet ik nu de stekker eruit trekken?
De kwetsbaarheid is verholpen in FortiOS firmware versies:
6.0.17
6.2.15
6.4.13
7.0.12
7.2.5
Dus alles daaronder is kwetsbaar.
12-06-2023, 10:28 door Anoniem
Er mist wel een belangrijk detail in dit artikel: "A Remote Code Execution vulnerability (CVE-2023-27997) has been identified in multiple versions of Fortinet Fortigate devices when SSL-VPN enabled." (bron: de genoemde link van de Australische overheid).
12-06-2023, 10:37 door Anoniem
Door Anoniem:

En welke update is gepatched? Welke versie is kwetsbaar? Ik zie geen enkel detail. Moet ik nu de stekker eruit trekken?

Morgen disclosure over dit lek...
https://olympecyberdefense.fr/1193-2/
12-06-2023, 10:50 door Anoniem
https://advisories.ncsc.nl/advisory?id=NCSC-2023-0282
NCSC is ook met een advisory gekomen ondertussen
12-06-2023, 10:51 door Anoniem
Door Anoniem:
Door Pieter Stoffelen: Als ik het goed begrijp werkt de kwetsbaarheid ook als userrnaam / password niet bekend is, en ook als MFA geactiveerd is. Kortom ASAP firmware updaten!

En welke update is gepatched? Welke versie is kwetsbaar? Ik zie geen enkel detail. Moet ik nu de stekker eruit trekken?

Doe die stekker er maar uit .
Als je die dingen moet beheren is het toch niet teveel gevraagd om de gegeven CVE in google te gooien wanneer je wat informatie mist ?

bv https://www.bleepingcomputer.com/news/security/fortinet-fixes-critical-rce-flaw-in-fortigate-ssl-vpn-devices-patch-now/ geeft een aantal versies.
12-06-2023, 11:05 door Anoniem
Als je de machine niet naar het www open hebt staan is er niet direct reden voor paniek lijkt me.
Tevens, gewetensvraag; waarom staat je corporate firewall mgt interface ook alweer open naar het internet? Misschien moet je dan iets met tuinieren gaan doen bijv.
12-06-2023, 13:27 door Anoniem
Door Anoniem: Als je de machine niet naar het www open hebt staan is er niet direct reden voor paniek lijkt me.
Tevens, gewetensvraag; waarom staat je corporate firewall mgt interface ook alweer open naar het internet? Misschien moet je dan iets met tuinieren gaan doen bijv.
Het gaat hier niet om de management interface maar de remote web-interface voor SSLVPN eindgebruikers...
12-06-2023, 13:41 door Anoniem
Door Anoniem: Als je de machine niet naar het www open hebt staan is er niet direct reden voor paniek lijkt me.
Tevens, gewetensvraag; waarom staat je corporate firewall mgt interface ook alweer open naar het internet? Misschien moet je dan iets met tuinieren gaan doen bijv.
Waarom heb je het over de management interface als het om een kwetsbaarheid die niets met de management interface te maken heeft?

Ga je nu je eigen neerbuigende advies tot een carrière switch opvolgen?
12-06-2023, 13:43 door Anoniem
Door Anoniem: Als je de machine niet naar het www open hebt staan is er niet direct reden voor paniek lijkt me.
Tevens, gewetensvraag; waarom staat je corporate firewall mgt interface ook alweer open naar het internet? Misschien moet je dan iets met tuinieren gaan doen bijv.
Dit gaat niet om de mgt interface, maar om de WAN interface. Dit gaat om de poort die gebruikt wordt om SSL VPN verbindingen op te kunnen zetten (dus los van welke je daarvoor configureert). De enige manier om hier niet vatbaar voor te zijn is SSL VPN uitzetten, of de firewall niet aan internet hangen. In de meeste organisaties is dit niet acceptabel.

Hoe zie jij het voor je om je firewall / VPN gateway te gebruiken zonder deze aan het www te hangen?
12-06-2023, 16:07 door Anoniem
Door tomm:
De kwetsbaarheid is verholpen in FortiOS firmware versies:
6.0.17
6.2.15
6.4.13
7.0.12
7.2.5
Dus alles daaronder is kwetsbaar.

Nou dat weet je niet, en dat zal ook wel niet. Veel mensen hier denken dat software, die ooit begonnen is met versie 1.0 ofzo, op dat moment een gigantisch aantal kwetsbaarheden had die in de loop der tijd een voor een gefixed worden in hogere versienummers.
De werkelijkheid is dat kwetsbaarheden ook nieuw geintroduceerd worden. Dus het kan in bovenstaand lijstje best zo zijn dat versie 5.0 en daaronder niet kwetsbaar is (voor dit probleem).
12-06-2023, 16:17 door Anoniem
Dit noemen ze ookwel een backdoor.
12-06-2023, 19:47 door Anoniem
Door Anoniem: Dit noemen ze ookwel een backdoor.

Dit is gewoon de front-door. Dit heeft niks met backdoors te maken, maar alles met de totale incompetentie van de softwareontwikkeling bij het bedrijf Fortinet.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.