image

150.000 Fortinet-apparaten missen update voor actief aangevallen lek

zondag 10 maart 2024, 09:32 door Redactie, 5 reacties

Vorige maand kwam netwerkfabrikant Fortinet met een beveiligingsupdate voor een kritieke kwetsbaarheid in FortiOS waar aanvallers actief misbruik van maken, maar vier weken later blijkt dat 150.000 apparaten nog altijd niet zijn gepatcht, waaronder ruim twaalfhonderd in Nederland. Dat meldt de Shadowserver Foundation op basis van eigen onderzoek.

FortiOS is het besturingssysteem van Fortinet dat op allerlei netwerkapparaten draait, zoals firewalls en vpn-systemen. De kwetsbaarheid, aangeduid als CVE-2024-21762, maakt het mogelijk voor aanvallers om zonder authenticatie op afstand code en commando's op kwetsbare apparatuur uit te voeren. De enige vereiste is de mogelijkheid om een HTTP-request naar het apparaat te sturen. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.6.

Fortinet meldde in het beveiligingsbulletin dat er mogelijk al misbruik van de kwetsbaarheid werd gemaakt. Dat er actief misbruik van het beveiligingslek werd gemaakt werd een dag later door het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security bevestigd. Details over deze aanvallen zijn niet gegeven.

De Shadowserver Foundation is een in Nederland en de Verenigde Staten geregistreerde non-profitstichting die zich bezighoudt met de bestrijding van botnets en cybercrime. Regelmatig scant de organisatie naar kwetsbare systemen, waarbij de laatste scan zich richtte op Fortinet-apparaten. Dan blijkt dat 150.000 apparaten de update voor CVE-2024-21762 missen. Dat wil echter niet zeggen dat al deze apparaten direct kwetsbaar zijn voor aanvallen. Het is volgens Fortinet ook mogelijk als workaround om SSL VPN uit te schakelen. Shadowserver kijkt alleen naar versienummers en niet of deze mitigatie is doorgevoerd.

Reacties (5)
10-03-2024, 21:59 door Anoniem
Ja, en dat achterlijke poort 80 is nodig voor bijvoorbeeld het ‘veilig’ maken van (ssl) verbindingen met lets encrypt wat een open poort ACME 80 http vereist.
11-03-2024, 09:15 door Anoniem
Door Anoniem: Ja, en dat achterlijke poort 80 is nodig voor bijvoorbeeld het ‘veilig’ maken van (ssl) verbindingen met lets encrypt wat een open poort ACME 80 http vereist.

Blijkbaar is dat niet vatbaar omdat je als work-around SSL VPN uit kan schakelen. Als je dat uitzet dan blijft de ACME interface nog draaien op de poort, en schijnbaar is dat geen probleem.
11-03-2024, 10:42 door Anoniem
Ik ken uit mijn hoofd nog 3 CVE's met hoge score voor Fortigate SSL VPN....
CVE-2024-21762, CVE-2023-27997, CVE-2022-42475

Dat ik ze uit het hoofd ken is misschien vanwege het schrijven van detectie voor deze CVE's, maar kom op Fortinet... Straks wordt je een 2de Cisco.. en die hebben we al... Was voorheen Forti 10x zo goedkoop, 10x zo snel en 10x zo veilig... en misschien nog het meest belangrijke, ALLES zat in 1 licentie...

Nu moet je extra betalen voor WAF, Webfilter (simpelweg een 'fout' domein blokkeren zit er niet meer in), IPS is niet meer standaard, DNS filtering is niet meer standaard, application control, email filtering, sdwan monitoring.. allemaal extra betalen.

Dingen die bij mijn weten gewoon bij een echte firewall horen is toch wel filteren van domeinen.. Een blacklist van foute domeinen waarvan ik weet dat ze behoren bij een botnet of phishing pogingen..
Nu moet ik 4 vendoren gebruiken om een beetje zekerheid te krijgen. 5 wanneer ik op LAN gebied ook nog redundantie wil.
11-03-2024, 18:48 door Anoniem
Door Anoniem: Ja, en dat achterlijke poort 80 is nodig voor bijvoorbeeld het ‘veilig’ maken van (ssl) verbindingen met lets encrypt wat een open poort ACME 80 http vereist.

ACME heeft helemaal geen open poort nodig voor inkomend verkeer. Ik heb meerdere ACME clients draaien en ik kan je verzekeren dat geen enkele een open poort 80 heeft. Zelfs mijn firewall vernieuwd via een ACME client het Letsencrypt certificaat.
11-03-2024, 18:58 door Anoniem
Door Anoniem: Ik ken uit mijn hoofd nog 3 CVE's met hoge score voor Fortigate SSL VPN....
CVE-2024-21762, CVE-2023-27997, CVE-2022-42475

Dat ik ze uit het hoofd ken is misschien vanwege het schrijven van detectie voor deze CVE's, maar kom op Fortinet... Straks wordt je een 2de Cisco.. en die hebben we al... Was voorheen Forti 10x zo goedkoop, 10x zo snel en 10x zo veilig... en misschien nog het meest belangrijke, ALLES zat in 1 licentie...

Nu moet je extra betalen voor WAF, Webfilter (simpelweg een 'fout' domein blokkeren zit er niet meer in), IPS is niet meer standaard, DNS filtering is niet meer standaard, application control, email filtering, sdwan monitoring.. allemaal extra betalen.

Dingen die bij mijn weten gewoon bij een echte firewall horen is toch wel filteren van domeinen.. Een blacklist van foute domeinen waarvan ik weet dat ze behoren bij een botnet of phishing pogingen..
Nu moet ik 4 vendoren gebruiken om een beetje zekerheid te krijgen. 5 wanneer ik op LAN gebied ook nog redundantie wil.
nee hoor. IPS, sdwan, waf is allemaal gratis. Alleen diensten die fortiguard nodig hebben zoals web en dns filtering kosten een licentie.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.