toch jammer dat het een zeroday die actief misbruikt wordt alleen aan extra betalende klanten vertelt , terwijl de rest gewoon gep0wned mocht worden.. geeft niet erg veel vertrouwen..

Er moet toch echt een bezem door FortiNet zo krijgt FortiGate toch echt een beladen naam.
Die gasten komen zo vaak in de CVE lijst voor.

Wij zijn als klant netjes al anderhalve week geleden hierover geïnformeerd. Waarbij we het advies kregen een workaround te kunnen doen.

Deze kwetsbaarheid kan alleen misbruikt worden als de manager aan het internet zit gekoppeld met poort 514 open. Sorry hoor, maar als je een beetje een security pet op hebt dan heb je dat sowieso al niet.. Je beheerplatform voor heel je omgeving zorg je voor dat het enkel via LAN te benaderen is met trusted hosts. Dan heb ik het nog geen eens gehad over local-in policies. Nu bregeep ik van een ander forum dat er bepaalde usecases zijn waarbij dit wel moet. Maar dan ga je toch sowieso iets van IP whitelisting doen. Desnoods op basis van geo locatie.

De bedrijven die hier zijn getroffen hebben mijn inziens een enorme security steek laten vallen.

En op de reactie hierboven, over dat Fortinet weer in het nieuws komt met een kwetsbaarheid. Ik had hier ook altijd mijn vraagtekens bij, tot ik wat dieper er naar ging kijken. Bijna alle vulnerabilities, heb mij ooit laten vertellen dat het percentage tussen de 80-85% zit. Wordt intern door hun security team gevonden. Als er wat wordt gevonden zijn ze ook heel transparant, daar kunnen andere partijen nog van leren.

Dus doe mij liever maar een partij die kwetsbaarheden vind, oplost en vermeld dan een partij die "nooit" wat heeft. Dat bestaat niet.

Zijn paar jaar geleden over gestapt, beste keuze.

Met name de Fortigate's achter dynamische (DHCP) IP-adressen is relevant. Niet alles heeft statische IP-adressen waarbij allowlisting gaat werken, denk naast consumenten ISP's ook aan 4G/5G en satellite verbindingen.

Het instellen van allowlisting op de fgfm poort staat verder ook niet genoemd in de best practice guide van Fortinet. De best practice noemt nota bene dat je altijd een publiek routerbaar adres wil toe te wijzen aan de FortiManager op het moment dat je deze 'achter' een firewall zoals een FortiGate plaatst.

Helaas is de aanname van veel leveranciers dat het allemaal wel veilig zal zijn en dit allemaal moet kunnen. Ook als er een custom in-house protocolletje gemaakt wordt. Ook als er een interne PKI opgetuigd wordt die door alle devices vertrouwd wordt. Ook als je geen EDR kan installeren. Ook als forensisch onderzoek lastig gemaakt wordt.

Het enige wat je kan hopen is dat er meer besef komt dat het niet altijd veilig is. En dat je private keys van certificaten altijd hardware-gebonden wil hebben. En dat je netwerk diensten als least privilege user wil uitvoeren. En dat je misschien moet stoppen met onveilige programmeertalen als je continue last hebt van memory of string formatting fouten.

Wij zijn hier anderhalve week over ingelicht. Enige wat wij hebben is een geregistreerde fortimanager. Wij betalen niets extra's hiervoor. Communicatie werd verstuurd aan het emailadres waar de manager mee is geregistreerd. Moet je dat wel in de gaten houden dus :)

Ook die melding kwam ruim te laat.

Blijkt dat dit gat al sinds juni/juli actief wordt misbruikt.