Fortinet waarschuwt voor kritiek FortiOS-lek dat aanvaller code laat uitvoeren
Fortinet waarschuwt organisaties voor twee kritieke kwetsbaarheden in de captive portal van FortiOS en FortiProxy waardoor een aanvaller code en commando's op het systeem kan uitvoeren. De impact van de beveiligingslekken (CVE-2023-42789 en CVE-2023-42790) is op een schaal van 1 tot en met 10 beoordeeld met een 9.3.
FortiOS is het besturingssysteem van Fortinet dat op allerlei netwerkapparaten draait, zoals firewalls en vpn-systemen. FortiProxy is een webgateway. Beide producten bieden een captive portal die gebruikers authenticeert voordat ze toegang tot 'web resources' krijgen. Door het versturen van speciaal geprepareerde HTTP requests kan een aanvaller een out-of-bounds write of buffer overflow veroorzaken en zo code of commando's op het systeem uitvoeren.
Fortinet heeft beveiligingsupdates voor FortiOS en FortiProxy uitgebracht. Daarnaast kunnen organisaties ook een workaround doorvoeren wat misbruik van de beveiligingslekken voorkomt. Vorige week bleek nog dat 150.000 Fortinet-apparaten een belangrijke beveiligingsupdate voor een actief aangevallen kwetsbaarheid niet hebben geïnstalleerd.
https://www.cvedetails.com/vulnerability-list/vendor_id-3080/Fortinet.html
Lijk me toch als Fortinet OS ontwikkel club daar niet echt om vrolijk van te worden?
Als het probleem in een gebruikte library zit dan zullen ze echt niet schromen om de schuld daar op af te schuiven. Nee, dit zijn stuk voor stuk gewoon problemen in hun eigen geschreven code.
Wanneer wordt de dev cycle daar eens professioneel?
https://www.cvedetails.com/vulnerability-list/vendor_id-3080/Fortinet.html
Lijk me toch als Fortinet OS ontwikkel club daar niet echt om vrolijk van te worden?
1. Of er zitten er veel lekken in de software van deze firma. Negatieve benadering
2, Er wordt veel onderzoek gedaan naar de beveiliging en daardoor komen er veel zaken naar boven. Daardoor is deze software wellicht veiliger dan de concurenten waarvan de software minder wordt onderzocht. In dit geval zou het prima kunnen dat malicious actors de lekken wel hebben gevonden, maar (uiteraard) dit niet bekend maken omdat ze het nog graag een tijdje willen kunnen misbruiken. Positieve benadering
Wanneer wordt de dev cycle daar eens professioneel?
Iedere software heeft problemen, deze worden tenminste opgelost.
Software waar je nooit iets over hoort wordt te weinig gebruikt en mogelijk niet aan ontwikkeld. Als er wel aan ontwikkeld wordt worden er problemen opgelost zonder dat er verteld wordt dat er een probleem bestaat.
Checkpoint had al wat bedenkingen, Juniper doet wat vaag, cisco was nooit echt een beveiligingsproduct sinds de PIX500 en Palo Alto spint garen nu Fortinet wat steken laat vallen...
Op naar de volgende cycle.
Checkpoint had al wat bedenkingen, Juniper doet wat vaag, cisco was nooit echt een beveiligingsproduct sinds de PIX500 en Palo Alto spint garen nu Fortinet wat steken laat vallen...
Op naar de volgende cycle.
Alleen zijn de Palo Alto's niet te betalen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
(Senior) Informatie Beveiligingsadviseur - CISO Office
Ministerie van Binnenlandse Zaken en Koninkrijksrelaties
Wil jij je op strategisch niveau bezighouden met de beveiliging van informatie waar niets mee fout mag gaan? Wij geven jou volop gelegenheid om samen met deskundige collega’s te werken aan beleid, procedures, advies, risicomanagement, metrics en projecten rond informatiebeveiliging.
Wij zoeken een Junior DevOps Engineer!
Ben jij nieuwsgierig, leergierig en klaar om je te verdiepen in de wereld van DevOps? In deze functie krijg je alle ruimte om te groeien. Je werkt met de nieuwste technologieën en krijgt intensieve begeleiding van ervaren security professionals zodat je je in korte tijd kunt ontwikkelen tot een volwaardige DevOps Engineer. Je werkt in Den Haag en werkt samen met een team dat kennis, humor en uitdaging moeiteloos weet te combineren. Are you ready for a challenge?