image

Fortinet meldt mogelijk misbruik van kritieke kwetsbaarheid in vpn-servers

dinsdag 13 juni 2023, 10:50 door Redactie, 8 reacties

Een kritieke kwetsbaarheid waardoor vpn-servers van Fortinet op afstand zijn over te nemen is mogelijk al misbruikt, zo heeft het bedrijf laten weten. Fortinet is inmiddels met updates gekomen om het beveiligingslek (CVE-2023-27997) te verhelpen. Daarnaast heeft de netwerkbeveiliger meer informatie over de manier waarop een spionagegroep via Fortinet-apparatuur toegang tot vitale organisaties wist te krijgen. Daarbij werd echter een andere kwetsbaarheid gebruikt.

Vorige week kwam Fortinet met updates voor CVE-2023-27997. Details waren echter niet bekend. Die zijn gisteren bekendgemaakt. Het gaat om een heap-based buffer overflow in FortiOS en FortiProxy SSL-VPN. Door het versturen van speciaal geprepareerde requests kan een aanvaller willekeurige code en commando's op de apparatuur uitvoeren. De impact van het lek is op een schaal van 1 tot en met 10 beoordeeld met een 9.2. Volgens Fortinet is het beveiligingslek mogelijk in een "beperkt aantal gevallen" misbruikt en wordt de situatie samen met de betreffende klanten gemonitord.

Spionage

Onlangs waarschuwden Microsoft en de Amerikaanse overheid dat vitale Amerikaanse infrastructuur het doelwit was geworden van een uit China opererende spionagegroep. Die wist organisaties op onbekende wijze via Fortinet FortiGuard-apparaten te compromitteren om vervolgens informatie te stelen. Microsoft liet weten dat het nog aan het onderzoeken was hoe de aanvallers toegang tot de FortiGuard-apparaten hadden gekregen.

Fortinet stelt in een analyse dat de aanvallers binnen wisten te komen via CVE-2022-40684, een kwetsbaarheid waarvoor op 10 oktober vorig jaar beveiligingsupdates verschenen. De impactscore van het beveiligingslek is beoordeeld met een 9.6. Voor zover bekend heeft de spionagegroep, die door Microsoft Volt Typhoon wordt genoemd, geen misbruik gemaakt van CVE-2023-27997. Wel verwacht Fortinet dat aanvallers misbruik van dit lek zullen gaan maken en roept organisaties op tot het voeren van een "agressieve patchcampagne" om het probleem op hun apparaten te verhelpen.

Reacties (8)
13-06-2023, 11:35 door Anoniem
Jaren lang goed verkocht want lekker goedkoop tenopzichte van de concurent. Na critical bug nummer zoveel mogen duidelijk zijn waarom ze zo goedkoop zijn.
13-06-2023, 11:52 door _R0N_
Door Anoniem: Jaren lang goed verkocht want lekker goedkoop tenopzichte van de concurent. Na critical bug nummer zoveel mogen duidelijk zijn waarom ze zo goedkoop zijn.

Je krijgt waar je voor betaalt, dat is altijd zo.
13-06-2023, 12:40 door Anoniem
Veel niet beveiligd te vinden met aangegeven privacyfout
Nogal wat Amerikaanse Data Centers - met de SonicWALL SSL-VPN Web Server
en je krijgt aanvakleijk een NET::ERR_CERT_AUTHORITY_INVALID
psirt/FG-IR-23-097
13-06-2023, 13:21 door Anoniem
Door _R0N_:
Door Anoniem: Jaren lang goed verkocht want lekker goedkoop tenopzichte van de concurent. Na critical bug nummer zoveel mogen duidelijk zijn waarom ze zo goedkoop zijn.

Je krijgt waar je voor betaalt, dat is altijd zo.

Helaas, was het maar zo dat een hoge prijs tenminste een garantie was voor kwaliteit .
We hebben ook de nodige vulnerabilities gezien in allerlei Cisco producten - en die kun je echt niet 'lekker goedkoop' noemen.

Verder zijn "we" hier toch van open source / free software , en roepen we dat nog beter is ook ?
(nog geen Linux fanboy gezien hier die opmerkte dat FortiOS linux based is . jammer, maar 'linux based' is echt geen garantie voor onkwetsbaar).

[Ik ken ook geen goede manier om te bepalen of een product dit soort vulnererabilities bevat . Het is helaas extreem lastig testen/evalueren ]
13-06-2023, 14:54 door _R0N_
Door Anoniem:
Door _R0N_:
Door Anoniem: Jaren lang goed verkocht want lekker goedkoop tenopzichte van de concurent. Na critical bug nummer zoveel mogen duidelijk zijn waarom ze zo goedkoop zijn.

Je krijgt waar je voor betaalt, dat is altijd zo.

Helaas, was het maar zo dat een hoge prijs tenminste een garantie was voor kwaliteit .
We hebben ook de nodige vulnerabilities gezien in allerlei Cisco producten - en die kun je echt niet 'lekker goedkoop' noemen.
iets met schoenmaker en leest. Cisco moet gewoon routers en switches maken, de firewalls (Pix/ASA) zijn altijd matig geweest.


Verder zijn "we" hier toch van open source / free software , en roepen we dat nog beter is ook ?
(nog geen Linux fanboy gezien hier die opmerkte dat FortiOS linux based is . jammer, maar 'linux based' is echt geen garantie voor onkwetsbaar).
Sssst.. de meesten hebben nogal lange tenen.

[Ik ken ook geen goede manier om te bepalen of een product dit soort vulnererabilities bevat . Het is helaas extreem lastig testen/evalueren ]

Alle software bevat fouten, veel fouten is niet erg zolang ze maar niet te ernstig zijn. Deze is een pre-auth rce gat in FortiOS, dat is ernstig.
Checkpoint lekken zie je een stuk minder in het nieuws, maar ja dat is voor de meeste bedrijven onbetaalbaar.
13-06-2023, 15:36 door Anoniem
Door _R0N_:
Door Anoniem:
Door _R0N_:
Door Anoniem: Jaren lang goed verkocht want lekker goedkoop tenopzichte van de concurent. Na critical bug nummer zoveel mogen duidelijk zijn waarom ze zo goedkoop zijn.

Je krijgt waar je voor betaalt, dat is altijd zo.

Helaas, was het maar zo dat een hoge prijs tenminste een garantie was voor kwaliteit .
We hebben ook de nodige vulnerabilities gezien in allerlei Cisco producten - en die kun je echt niet 'lekker goedkoop' noemen.
iets met schoenmaker en leest. Cisco moet gewoon routers en switches maken, de firewalls (Pix/ASA) zijn altijd matig geweest.


Verder zijn "we" hier toch van open source / free software , en roepen we dat nog beter is ook ?
(nog geen Linux fanboy gezien hier die opmerkte dat FortiOS linux based is . jammer, maar 'linux based' is echt geen garantie voor onkwetsbaar).
Sssst.. de meesten hebben nogal lange tenen.

[Ik ken ook geen goede manier om te bepalen of een product dit soort vulnererabilities bevat . Het is helaas extreem lastig testen/evalueren ]

Alle software bevat fouten, veel fouten is niet erg zolang ze maar niet te ernstig zijn. Deze is een pre-auth rce gat in FortiOS, dat is ernstig.
Checkpoint lekken zie je een stuk minder in het nieuws, maar ja dat is voor de meeste bedrijven onbetaalbaar.

De Pix was revolutionair (en niet door Cisco origineel ontwikkeld), en de ASA is lange tijd echt dikke prima geweest zolang je maar niks in ASDM (web interface) hoefde te doen. Pas toen ze sourcefire/firepower probeerde te integreren ging het compleet mis.
13-06-2023, 17:25 door _R0N_
Door Anoniem:

De Pix was revolutionair (en niet door Cisco origineel ontwikkeld), en de ASA is lange tijd echt dikke prima geweest zolang je maar niks in ASDM (web interface) hoefde te doen. Pas toen ze sourcefire/firepower probeerde te integreren ging het compleet mis.

Behalve dan dat je de Pix (en ASA) geheel moet reloaden bij een rule change en dus alle sessies weg zijn. Geen idee of dat nog zo is ben 20 jaar geleden gestopt met die meuk.
13-06-2023, 21:31 door Anoniem
Door Anoniem:
Door _R0N_:
Door Anoniem:
Door _R0N_:
Door Anoniem: Jaren lang goed verkocht want lekker goedkoop tenopzichte van de concurent. Na critical bug nummer zoveel mogen duidelijk zijn waarom ze zo goedkoop zijn.

Je krijgt waar je voor betaalt, dat is altijd zo.

Helaas, was het maar zo dat een hoge prijs tenminste een garantie was voor kwaliteit .
We hebben ook de nodige vulnerabilities gezien in allerlei Cisco producten - en die kun je echt niet 'lekker goedkoop' noemen.
iets met schoenmaker en leest. Cisco moet gewoon routers en switches maken, de firewalls (Pix/ASA) zijn altijd matig geweest.


Verder zijn "we" hier toch van open source / free software , en roepen we dat nog beter is ook ?
(nog geen Linux fanboy gezien hier die opmerkte dat FortiOS linux based is . jammer, maar 'linux based' is echt geen garantie voor onkwetsbaar).
Sssst.. de meesten hebben nogal lange tenen.

[Ik ken ook geen goede manier om te bepalen of een product dit soort vulnererabilities bevat . Het is helaas extreem lastig testen/evalueren ]

Alle software bevat fouten, veel fouten is niet erg zolang ze maar niet te ernstig zijn. Deze is een pre-auth rce gat in FortiOS, dat is ernstig.
Checkpoint lekken zie je een stuk minder in het nieuws, maar ja dat is voor de meeste bedrijven onbetaalbaar.

De Pix was revolutionair (en niet door Cisco origineel ontwikkeld), en de ASA is lange tijd echt dikke prima geweest zolang je maar niks in ASDM (web interface) hoefde te doen. Pas toen ze sourcefire/firepower probeerde te integreren ging het compleet mis.

Ik heb met mijn werk te maken met firepowers. Wat een hell is dat. Momenteel niet eens kunnen updaten omdat de schijf is vol gelopen met iets? Via Gui of normale cli niet niet iets kunnen verwijderen. Weer een TAC aanmaken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.