150.000 Fortinet-apparaten missen update voor actief aangevallen lek
Vorige maand kwam netwerkfabrikant Fortinet met een beveiligingsupdate voor een kritieke kwetsbaarheid in FortiOS waar aanvallers actief misbruik van maken, maar vier weken later blijkt dat 150.000 apparaten nog altijd niet zijn gepatcht, waaronder ruim twaalfhonderd in Nederland. Dat meldt de Shadowserver Foundation op basis van eigen onderzoek.
FortiOS is het besturingssysteem van Fortinet dat op allerlei netwerkapparaten draait, zoals firewalls en vpn-systemen. De kwetsbaarheid, aangeduid als CVE-2024-21762, maakt het mogelijk voor aanvallers om zonder authenticatie op afstand code en commando's op kwetsbare apparatuur uit te voeren. De enige vereiste is de mogelijkheid om een HTTP-request naar het apparaat te sturen. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.6.
Fortinet meldde in het beveiligingsbulletin dat er mogelijk al misbruik van de kwetsbaarheid werd gemaakt. Dat er actief misbruik van het beveiligingslek werd gemaakt werd een dag later door het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security bevestigd. Details over deze aanvallen zijn niet gegeven.
De Shadowserver Foundation is een in Nederland en de Verenigde Staten geregistreerde non-profitstichting die zich bezighoudt met de bestrijding van botnets en cybercrime. Regelmatig scant de organisatie naar kwetsbare systemen, waarbij de laatste scan zich richtte op Fortinet-apparaten. Dan blijkt dat 150.000 apparaten de update voor CVE-2024-21762 missen. Dat wil echter niet zeggen dat al deze apparaten direct kwetsbaar zijn voor aanvallen. Het is volgens Fortinet ook mogelijk als workaround om SSL VPN uit te schakelen. Shadowserver kijkt alleen naar versienummers en niet of deze mitigatie is doorgevoerd.
Blijkbaar is dat niet vatbaar omdat je als work-around SSL VPN uit kan schakelen. Als je dat uitzet dan blijft de ACME interface nog draaien op de poort, en schijnbaar is dat geen probleem.
CVE-2024-21762, CVE-2023-27997, CVE-2022-42475
Dat ik ze uit het hoofd ken is misschien vanwege het schrijven van detectie voor deze CVE's, maar kom op Fortinet... Straks wordt je een 2de Cisco.. en die hebben we al... Was voorheen Forti 10x zo goedkoop, 10x zo snel en 10x zo veilig... en misschien nog het meest belangrijke, ALLES zat in 1 licentie...
Nu moet je extra betalen voor WAF, Webfilter (simpelweg een 'fout' domein blokkeren zit er niet meer in), IPS is niet meer standaard, DNS filtering is niet meer standaard, application control, email filtering, sdwan monitoring.. allemaal extra betalen.
Dingen die bij mijn weten gewoon bij een echte firewall horen is toch wel filteren van domeinen.. Een blacklist van foute domeinen waarvan ik weet dat ze behoren bij een botnet of phishing pogingen..
Nu moet ik 4 vendoren gebruiken om een beetje zekerheid te krijgen. 5 wanneer ik op LAN gebied ook nog redundantie wil.
ACME heeft helemaal geen open poort nodig voor inkomend verkeer. Ik heb meerdere ACME clients draaien en ik kan je verzekeren dat geen enkele een open poort 80 heeft. Zelfs mijn firewall vernieuwd via een ACME client het Letsencrypt certificaat.
CVE-2024-21762, CVE-2023-27997, CVE-2022-42475
Dat ik ze uit het hoofd ken is misschien vanwege het schrijven van detectie voor deze CVE's, maar kom op Fortinet... Straks wordt je een 2de Cisco.. en die hebben we al... Was voorheen Forti 10x zo goedkoop, 10x zo snel en 10x zo veilig... en misschien nog het meest belangrijke, ALLES zat in 1 licentie...
Nu moet je extra betalen voor WAF, Webfilter (simpelweg een 'fout' domein blokkeren zit er niet meer in), IPS is niet meer standaard, DNS filtering is niet meer standaard, application control, email filtering, sdwan monitoring.. allemaal extra betalen.
Dingen die bij mijn weten gewoon bij een echte firewall horen is toch wel filteren van domeinen.. Een blacklist van foute domeinen waarvan ik weet dat ze behoren bij een botnet of phishing pogingen..
Nu moet ik 4 vendoren gebruiken om een beetje zekerheid te krijgen. 5 wanneer ik op LAN gebied ook nog redundantie wil.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
