image

DTC adviseert over Fortinet-lek: updaten niet voldoende, doe onderzoek

donderdag 24 oktober 2024, 11:23 door Redactie, 6 reacties

Organisaties en bedrijven die gebruikmaken van de Fortinet FortiManager en FortiManager Cloud moeten niet alleen de gisteren beschikbaar gestelde update voor een actief aangevallen beveiligingslek installeren, maar ook onderzoek doen of er geen misbruik is gemaakt. Dat adviseert het Digital Trust Center (DTC) van het ministerie van Economische Zaken.

Wanneer misbruik blijkt adviseert het Nationaal Cyber Security Centrum (NCSC) om accounts te resetten en certificaten te vernieuwen. Via het beveiligingslek kan een aanvaller configuratiegegevens uit de firewall/netwerkomgeving stelen. Tevens is het mogelijk om vpn-inloggegevens en certificaten te bekijken, waardoor het mogelijk is om toegang tot het netwerk te krijgen, aldus de overheidsinstantie.

FortiManager is een netwerkapparaat waarmee organisaties al hun Fortinet-apparaten kunnen beheren. Een succesvolle aanval kan dan ook vergaande gevolgen voor organisaties hebben. De afgelopen dagen gingen er al berichten rond over de aanwezigheid van een actief misbruikte kwetsbaarheid in het product, maar Fortinet bleef stil. Gisteren verscheen er een beveiligingsbulletin waarin actief misbruik en de aanwezigheid van updates wordt gemeld.

"Omdat Fortinet eerder publiekelijk stil is gebleven over het beveiligingsprobleem en de beschikbaarheid van een patch, is het mogelijk dat een kwaadwillende toegang heeft gehad tot kwetsbare FortiManager omgevingen", zo laat het DTC weten. "Omdat deze kwetsbaarheid al langere tijd misbruikt is voordat er een update beschikbaar is gekomen, is alleen updaten niet meer voldoende. Doe aanvullend onderzoek of er in de tussentijd misbruik is geweest." Ook het NCSC adviseert dit.

Reacties (6)
24-10-2024, 13:49 door Anoniem
Fortinet partners zijn weken geleden al geïnformeerd en hebben nu ruim de kans gehad om stappen te ondernemen.
Daarnaast had je dit van te voren kunnen tackelen met de juiste inrichting.
24-10-2024, 14:21 door Anoniem
Ze zouden het veel beter advies moeten geven: Waarom gebruik je in vredesnaam Fortinet?

Want een normale organisatie heeft 10 jaar geleden wel te horen gekregen dat zero-trust toch echt het enige pad is...
Dus wat doe je dan met zo'n belachelijk apparaat vol met backdoors. Fortinet heeft meerdere keren laten zien dat er hardcoded credentials in de software zat. Als 'beveiligingsbedrijf' is dat echt 100% geen toeval... En zelfs dan, het gebeurd keer op keer.

Dus wie heeft dat enorme dure apparaat gekocht en ontsla die persoon. Neem iemand in dienst die meer dan 2 seconden over beveiliging nadenkt....

Man, de hele wereld zit al in de cloud en de organisaties die hierdoor gehacked worden hebben het zelf uitgelokt... Man Fortinet in 2024... Wat voor wereld leef je dan... Het is net als een pickup rijden in Nederland... Dan snap je er echt helemaal niets van of je bent gewoon een eikel en daar trots op.
24-10-2024, 15:30 door _R0N_
Door Anoniem: Fortinet partners zijn weken geleden al geïnformeerd en hebben nu ruim de kans gehad om stappen te ondernemen.
Daarnaast had je dit van te voren kunnen tackelen met de juiste inrichting.

weken geleden al geïnformeerd

Mandiant’s earliest observed exploitation attempt occurred on June 27, 2024. On that day, multiple FortiManager devices received inbound connections from the IP address 45[.]32[.]41[.]202 on the default port TCP/541

Dat was dus ruim te laat.
24-10-2024, 15:31 door _R0N_
Door Anoniem: Ze zouden het veel beter advies moeten geven: Waarom gebruik je in vredesnaam Fortinet?

Want een normale organisatie heeft 10 jaar geleden wel te horen gekregen dat zero-trust toch echt het enige pad is...
Dus wat doe je dan met zo'n belachelijk apparaat vol met backdoors. Fortinet heeft meerdere keren laten zien dat er hardcoded credentials in de software zat. Als 'beveiligingsbedrijf' is dat echt 100% geen toeval... En zelfs dan, het gebeurd keer op keer.

Dus wie heeft dat enorme dure apparaat gekocht en ontsla die persoon. Neem iemand in dienst die meer dan 2 seconden over beveiliging nadenkt....

Man, de hele wereld zit al in de cloud en de organisaties die hierdoor gehacked worden hebben het zelf uitgelokt... Man Fortinet in 2024... Wat voor wereld leef je dan... Het is net als een pickup rijden in Nederland... Dan snap je er echt helemaal niets van of je bent gewoon een eikel en daar trots op.

Nog nooit iemand zo duidelijk laten zien geen idee te hebben waar hij over schrijft.
25-10-2024, 07:55 door Bitje-scheef
Door Anoniem: Ze zouden het veel beter advies moeten geven: Waarom gebruik je in vredesnaam Fortinet?

Want een normale organisatie heeft 10 jaar geleden wel te horen gekregen dat zero-trust toch echt het enige pad is...
Dus wat doe je dan met zo'n belachelijk apparaat vol met backdoors. Fortinet heeft meerdere keren laten zien dat er hardcoded credentials in de software zat. Als 'beveiligingsbedrijf' is dat echt 100% geen toeval... En zelfs dan, het gebeurd keer op keer.

Dus wie heeft dat enorme dure apparaat gekocht en ontsla die persoon. Neem iemand in dienst die meer dan 2 seconden over beveiliging nadenkt....

Man, de hele wereld zit al in de cloud en de organisaties die hierdoor gehacked worden hebben het zelf uitgelokt... Man Fortinet in 2024... Wat voor wereld leef je dan... Het is net als een pickup rijden in Nederland... Dan snap je er echt helemaal niets van of je bent gewoon een eikel en daar trots op.

Dat is wel erg kort door de bocht. En iemand die langer dan 2 seconden nadenkt, kan zeker op meerdere lagen nadenken over security. Want goede securlty is altijd multi-layer.
25-10-2024, 10:17 door Anoniem
Door Anoniem: Ze zouden het veel beter advies moeten geven: Waarom gebruik je in vredesnaam Fortinet?
Oh wauw, je komt wat tegen op Security.NL. Genoeg rants gezien, inmiddels, deze is wel heel bizar.
Want een normale organisatie heeft 10 jaar geleden wel te horen gekregen dat zero-trust toch echt het enige pad is...
Dus wat doe je dan met zo'n belachelijk apparaat vol met backdoors. Fortinet heeft meerdere keren laten zien dat er hardcoded credentials in de software zat. Als 'beveiligingsbedrijf' is dat echt 100% geen toeval... En zelfs dan, het gebeurd keer op keer.
"zero-trust het enige pad"... Weet je überhaupt wel wat zero trust is? want netwerk segmentatie van je datacenter is toch echt wel een cruciaal onderdeel van een zero-trust netwerk architectuur (microsegmentation). En zonder een vorm van Firewall is dat best wel een uitdaging. Ah, nee, Microsegmentering met NC of NSX is natuurlijk altijd zonder bugs en vulnerabilities geweest. Fortinet heeft ook aandacht voor ZTA, net als elk ander security bedrijf.

Ja, Fortinet is - erg ongelukkig - de laatste tijd heel vaak op een minder positieve manier in het nieuws. Maar eerlijk, zijn er dan nooit lekken in PaloAlto, Sophos, Cisco, Meraki, Juniper, of andere firewalls gevonden?

En als we die minder vaak horen, zijn er dan ook daadwerkelijk minder lekken, of is er bij onderzoekers momenteel gewoon een bias voor Fortinet? Als je het hebt over zero trust, ga er dan maar van uit dat een PAN Panorama omgeving ook gecompromitteerd kan worden (assume breach)

Ja, je moet idd wel de toegang tot je fortimanager beperken tot die systemen die je er daadwerkelijk in wil hebben. (identity verification). Dat is gewoon common sense, maar ligt dat aan Fortinet, of aan de engineer die e.e.a. inricht en dat niet vanaf het begin meteen goed dicht zet? Denk dat laatste.

Firewalls heb je ook vandaag de dag gewoon nog nodig. Centraal beheer als je meerdere firewalls hebt is ook best prettig. Concepten als Fortimanager zijn dus ook gewoon noodzakelijk. Niemand die 60 firewalls separaat constant in de smiezen houdt. (monitoring)

Dus wie heeft dat enorme dure apparaat gekocht en ontsla die persoon. Neem iemand in dienst die meer dan 2 seconden over beveiliging nadenkt....
Ik huur dan toch liever iemand in die voor een fortigate kiest en hem op een veilige wijze inricht dan iemand die dat spul alleen maar ontzettend duur vindt en oeverloos gaat raaskallen over zero-trust maar vervolgens niet lijkt te weten wat de generieke definitie daarvan is.

Man, de hele wereld zit al in de cloud en de organisaties die hierdoor gehacked worden hebben het zelf uitgelokt... Man Fortinet in 2024... Wat voor wereld leef je dan... Het is net als een pickup rijden in Nederland... Dan snap je er echt helemaal niets van of je bent gewoon een eikel en daar trots op.
Voor iemand die nooit iets mee moet nemen en nooit in ruw terrein moet/hoeft te rijden is een pick-up misschien onbegrepen. Maar laat mensen die in een pickup willen of functioneel moeten rijden daar gewoon in rond hobbelen. De enige die het niet snapt, zich als een eikel gedraagt en trots er op is, lijk jij te zijn.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.