Fortinet waarschuwt klanten voor ernstig rce-lek in FortiGate-firewalls

Fortinet waarschuwt klanten voor een ernstige kwetsbaarheid in een aantal FortiGate-firewalls en FortiProxy-webproxies. Het bedrijf heeft een patch uitgebracht voor de bug, waarmee aanvallers op afstand kunnen inloggen op een adminaccount.

De bug wordt getrackt als CVE-2022-40684, al is daar nog geen publieke informatie op geregistreerd. Fortinet is bekend met de bug en schrijft op zijn site dat het daarvoor een patch heeft uitgebracht, maar het bedrijf geeft er zelf geen publieke details over. De patch is doorgevoerd in FortiOS 7.2.2. Ook in de officiële releasenotes wordt de bug genoemd zonder informatie. Wel is er een beveiligingsonderzoeker die details deelt op Twitter.

De hacker die bekend staat als Gitworm zegt dat Fortinet zijn klanten aanraadt FortiOS bij te werken. De kwetsbaarheid zit in alle FortiOS-versies van 7.0.0 tot 7.0.6 en van 7.2.0 tot 7.2.1. Ook FortiProxy, een webproxytool, is kwetsbaar. Daarbij gaat het om versies 7.0.0 tot 7.0.6 en om versie 7.2.0.

De bug heeft een Critical-rating gekregen, en een CVSS-score van 9.6. Het gaat om een authenticatieomzeiling voor de administratoromgeving. Aanvallers kunnen op afstand zonder authenticatie toegang krijgen tot die omgeving. "Vanwege de mogelijkheid deze exploit op afstand uit te voeren, raadt Fortinet alle klanten met de kwetsbare versies aan die onmiddellijk te upgraden", schrijft het bedrijf. Aanvallers kunnen binnenkomen op een systeem door 'een speciaal daarvoor gemaakte http- of https-request' te doen. Ze kunnen daarmee een argument injection uitvoeren. Dat is een kwetsbaarheid die als CW-88 wordt getracked. Voor zover bekend wordt de bug niet publiek uitgebuit en is er nog geen proof of concept uit.

Reacties (71)

The Zep Man

Beveiliging en antivirus
Malware

8 oktober 2022 09:53

Let op dat er dus al (ongeauthenticeerde) toegang moet zijn tot de management interface van de firewall. In een beetje fatsoenlijk netwerkconfiguratie is dit gescheiden in een eigen management netwerk. Dit zal dus niet zomaar publiekelijk op grote schaal misbruikt worden. Het is meer voor gerichte aanvallen, waarbij iemand al toegang moet hebben tot het management netwerk.

[Reactie gewijzigd door The Zep Man op 24 juli 2024 08:11]

daanb14 @The Zep Man • 8 oktober 2022 12:09

Voor het geval dat er gebruikt wordt gemaakt van trusted hosts als middel, is het belangrijk om een local-in policy aan te maken, totdat er geüpdatet kan worden. Als trusted hosts niet geconfigureerd is op een van de admin accounts, is je firewall alsnog kwetsbaar.

[Reactie gewijzigd door daanb14 op 24 juli 2024 08:11]

Jimbolino @The Zep Man • 8 oktober 2022 15:13

er zijn veel verkeerd geconfigureerde Fortinet dozen op internet:
https://www.shodan.io/search?query=globalurl.fortinet.net

Waaronder in het verleden ook KPN

bons @The Zep Man • 8 oktober 2022 10:27

Vooral dit, vaak wordt er heel paniekerig in organisatie gereageerd op dit soort zaken waarbij on overwogen reacties ontstaan. Zoals brainless patching, waarbij veel Q&A zaken over het hoofd gezien, waarbij in sommige gevallen je problemen alleen maar groter kunnen worden, zoals (onverwachte) functionaliteiten of stabiliteit problemen in je netwerk ontstaan.

Door je netwerk goed in te richten verminder je attack scope aanzienlijk en ontstaat er tijd om in fatsoenlijke Quality en assurance procedures te doorlopen, voordat je zomaar even allerlei code in dit soort core componenten inschiet.

Blokker_1999

Malware
Beveiliging en antivirus

@bons • 8 oktober 2022 10:46

Maar soms moet je wel gewoon patchen. Zo was er recent een bug ontdekt in het OS van de firewalls die wij gebruiken waardoor het mogelijk was deze te misbruiken in een amplification attack. Wij merkten het ook enkel maar op omdat we ineens klachten kregen van onze gebruikers dat bepaalde verbindingen telkens wegvielen en we ineens enorm veel uitgaand verkeer zagen. Enkel na navraag bij onze leverancier kregen we te horen dat we moesten upgraden vanwege een bug.

Dan ga je niet eerst even door de normale procedure van alles te testen maar is het: pas dit zo snel mogelijk toe en laat ons hopen dat er geen nieuwe problemen geintroduceerd worden.

Even 5 minuten stilstaan en nadenken van wat er nodig is om misbruik te kunnen maken is goed. Maar van zodra het een systeem is dat extern benaderbaar is, niet te lang twijfelen.

bons @Blokker_1999 • 8 oktober 2022 13:05

Mijn insteek is was dat je juist niet moet patchen, maar dat je het wel gecontroleerd moet doen.

Ik heb namelijk ook voorbeelden meegemaakt, waarbij het uitrollen van van hotfixes op productie systemen juist meer pijn voor de organisatie veroorzaakt. omdat bij het uitrollen eerst testen in je testomgeving overslaat.

Bij niks krijg je 100% garantie. heel soms kun je niet anders en staat je device echt als mogelijke exploit open naar de buitenwereld. maar in veel gevallen heb je realistisch die tijd wel, aangezien hopelijk nooit je beheer toegang zonder tussen stappen openzet naar de buitenwereld.

[Reactie gewijzigd door bons op 24 juli 2024 08:11]

Drardollan @bons • 8 oktober 2022 17:42

Snap je redenatie, ik volg die over het algemeen ook. Maar lekken van dit kaliber vereisen een andere aanpak. Daar kan je niet te lang over nadenken, dat moet je gewoon doen. Het kan inderdaad zijn dat je de functionaliteit om zeep helpt, maar dat is nog altijd minder erg dan dat een hacker je functionaliteit om zeep helpt.

Natuurlijk verschilt het per situatie hoe groot het risico is. Als je echt netjes een gescheiden management VLAN hebt wat volledig dichtgetimmerd is dan is het risico misschien wel aanvaardbaar voor enige tijd. Maar ook dan wil je liefst zo snel mogelijk actie ondernemen, als onverhoopt iemand de management openzet naar het LAN of erger nog het WAN dan ben je direct een schietschijf.

Douweegbertje @bons • 9 oktober 2022 04:03

patch/hotfix - whatever. Heel het nut van semver is dat een x.x.x.Y, de Y aangeeft dat het een patch is en dus puur en alleen de patch zou bevatten. Dus als je dan een risico analyse zou doen is het altijd updaten naar een patch version een no-brainer als het gaat om kritische problemen.

Mijn punt dus; fortinet patched niet, ze maken gewoon een nieuwe release. Wat ongeveer wel past bij ze qua management/beheer van hun zooi (persoonlijke rant).

Daarnaast is testen ook een vrij relatief breed onderwerp. Of het nou wel of geen hotfix, patch of wat dan ook is, alles gaat bij ons gewoon snel de pipelines door (en passeert wel test/preprod) en wordt automagisch getest. Extra testen zijn niet benodigd bij een .Y versie omdat er geen nieuwe features zijn, anders dan al de testen die je dus al deed (en dus van belang voor je zijn).

Maar goed, onderaan de streep is eigenlijk alles te herleiden naar de staat van de organisaties/beheer/processen/reden-x-y-z.

[Reactie gewijzigd door Douweegbertje op 24 juli 2024 08:11]

amx @bons • 8 oktober 2022 11:56

als je je leverancier niet vertrouwt, kies dan een andere leverancier.

anders: patchen! het is een CVE van 9.6

net als je zegt dat je netwerk goed ingericht moet zijn, is daar het antwoord op: het is een gelaagde aanpak.

Ook de exploits zijn gelaagd, als in: zelden zal een CVE op zichzelf toegang tot een netwerk geven, maar een combinatie van wordt wat gevaarlijker.

xbeam @amx • 8 oktober 2022 13:46

Daarnaast wordt vaak over het hoofd gezien dat waneer ze eenmaal binnen zijn er al maanden toegang is via bijv een IoT devices of dat ze gewoon gewoon mee naar binnen worden of zijn gebracht met de (privé) telefoon van een werknemer. Dat dan de bescherming van zoon eigen management netwerk segmentatie ook maar relatief is. En daar zit precies het gevaar en probleem van segmenteren kun je leren bewust wording. Netwerk beheer/beveiliging is niet voor niets een aparte opleiding/ afstudeer richting en geen semester binnen informatica of electronica of vak van MBO Installatietechniek

Dit is de zelfde discussie als die ik altijd heb met kassa, camera en electro installateurs enz. Dat bij een echte aanval een een management of camera segment/vlan de risico’s alleen verzacht maar niet weg neemt. Ik hoor vanuit die wereld ook zo vaak precies dit wat @The Zep Man als IT(Security/Netwerk)specialist zegt terug “in een beetje fatsoenlijk netwerkconfiguratie is dit gescheiden in een eigen management netwerk.” En daar dan gelijk achteraan “niemand kan daar bij dus ik zie het risico niet dus we update de de systemen alleen waneer er nieuw ook nieuwe toepassing bij komen waar de klant voor wil betalen”

Vaak, eigenlijk altijd komen dan alle deze “gescheiden” vlan’s zonder stok op de zelfde router uit. Dus welke geïsoleerd Netwerk segment of management vlan bedoel je dan? Van Conntrack Modules en slipstreaming hebben ze echt allemaal nog nooit gehoord. En op mijn expres cynische vraag weet je wat ethernet is krijg je vaak (altijd) de reactie “ja, zo’n 8 aderige computer kabel, ik weet wel iets van computers, ik ben niet dom of zo ”

Er is geloof ik in de EU en de VS alleen al tekort van een meer dan een afgestudeerde ITer’s en Netwerk-engineer en Netwerk-security zijn de meest populaire afstudeer richtingen in Nederland. Dat is ook oorzaak van de huidige Dunning-Kruger pandemie die momenteel jaren heerst onder alle electro, kassa, camera installateurs enz. En de oorzaak oorzaak is dat het klein en midden MKB momenteel zo vatbaar voor ransomware is.

Dus Hopper de hopper Vlan hop, laat ze als je blieft nu maar in panieken gelijk patchen. Het laatste waar Nederland nu op zit wachten is dat Murphy in contact komt met Dunning-Kruger.

[Reactie gewijzigd door xbeam op 24 juli 2024 08:11]

Sorki @xbeam • 9 oktober 2022 08:38

Het is vechten tegen de mondige Dunning-Kruger lichtingen van afgelopen jaren. Binnen en buiten het bedrijf. Het helpt ook niet dat er een zeer hoge vraag is naar senior security experts, dat maakt dat veel onervaren personen de titel toegewezen krijgen en dit het effect alleen nog maar versterkt.

Ontopic:
patchen die handel. Als er vulnerabilities zijn van dit kaliber wil je die dreiging zo snel mogelijk weg zelfs al zit je mgmt op volledig gescheiden hardware. Dit is het moment waarop oa de sleeping agents kunnen wakker worden en op korte tijd veel schade kunnen aanrichten.

Zit je in een bedrijf waar cabs, approvals en strikte (emgergency) maintanance windows zijn, kan je die verloren tijd nog gebruiken om de firmwares in het lab uit te rollen en te zien of er geen side effects zijn en daarop te anticiperen.

Fortinet heeft plannen om de 6.4 branch hun eerste (langverwachte) LTS branch te maken. Indien je geen nood hebt aan nieuwe features lijkt me voor een productie omgeving dit dan ook de way to go.

[Reactie gewijzigd door Sorki op 24 juli 2024 08:11]

bons @amx • 8 oktober 2022 13:13

Een CVE score zegt voor je organisatie pas werkelijk een impact als je deze tegen je eigen organisatie afweegt. Een hoge CVE met een apparaat open naar de internet wind staat heeft voor de organisatie een andere urgentie, dan voor een apparaat dat eerst nog een keer beschermd wordt door sarcofaag en dus niet jan en alle man zo maar even bijkomt.

In alle tijden moet je patchen, maar het bepaald wel de urgentie en aanpakt hierin.
Verder als je een leverancier voor me hebt dat bug vrij programmeert hou ik me aangeraden

.
Ze maken allemaal fouten ook in CVE hot patches, aangezien in CVE hotpatches de leverancier hier ook vaak meer Q&A overslaat omdat anders het traject veels te lang duurt.

itlee @bons • 8 oktober 2022 13:29

Je hebt duidelijk geen ervaring met fortinet. Met je antwoord schrijf je veel tekst maar zeg je eigenlijk niks.

Ik werk 15 Jr met fortinet firewalls en alle software release zijn super stabiel. Na een upgraden binnen je build is de kans nihil dat er iets omvalt of stuk gaat. Ik heb er honderden in beheer gehad en fortinet firewalls zijn bullet proof.

bons @itlee • 8 oktober 2022 13:37

In tegendeel we draaien just qua firewalls alleen Fortinet (dus oordeel niet alleen iemand vanuit een stukje tekst) Wij hebben zijn ook tevreden met Fortinet, maar we zouden liegen als we in 10 jaar gebruik niet een memory leak of andere bug tegen zijn gekomen. kom op laten we eerlijk zijn. En dat kan ook niet de code wordt gewoon geschreven door mensen. dus mijn excuses als ik hiermee tegen je fortishield heb gejaagd

Er bestaat gewoon geen fabrikant dat foutloze devices maakt, hoe fan je er ook van bent.
Ik ben bijvoorbeeld ook Fan van Cisco, maar ik zou liegen als ik zou zeggen dat ik nooit bugs in een Cisco Nexus platform tegenkom

xbeam @itlee • 8 oktober 2022 16:44

Dat jij nooit problemen ervaart zegt niets direct iets een vendor of kennis van het product.
Ieder Netwerk is uniek en heeft daardoor zijn eigen unieke makken en nukken. Ieder merk is waneer het echt complex wordt en op de details aankomt uniek, iedere netwerk merk heeft zijn zo zijn eigen valkuil van probleem protocollen door implementatie en afhankelijkheden keuzes van de fabrikanten, Fabrikant moeten bij de implementatie van protocollen vaak bij de details kiezen; Implementeren ik deze protocol rand functie wel of niet. Welke andere functie van een ander protocol gaat er dan stuk of vaker welke door de fabrikant eigen gemaakte stukje software/functie die een protocol functie (mis)gebruikt gaat er stuk?

Pak de protocollen lijst van je gateway / switches er maar bij, dan zie je dat er heel wat protocollen zijn waar eigen aanpassingen in hebben gemaakt en protocollen onderdelen wel,niet, half of andere zijn geïmplementeerd. Wanneer jij een netwerk service gebruikt waarvan functies leunen op deze door de fabrikant aangepaste of weg gelaten protocol onderdelen en ze wijzigen daar iets heb je vaak pech. De beroemde Edge cases gaan ze pas of niet fixen als er voldoende klachten zijn omdat vaak impact heeft op hun eigen software en functies in de gateway.

Een beroemt voorbeeld was TP-link en Kpn. Waar de noodzakelijke implementation keuzes van Kpn van IGMP(iptv) gebruikte/leunt op een specifiek gebruikt igmp-snooping onderdeel. Waarbij TP-link bij hun implementatie keuze van igmp snooping ten goede van eigen functies voor dit onderdeel afweek.
Hierdoor werkte tp-link switches voor igmp snooping en iptv bij alle providers wereldwijd prima behalve met KPN. En Kpn iptv werkte netjes met iedere igmp snooping switch van alle merken bevallen die van TP-link, beide hadden de afgelopen 10 jaar weinig economische noodzaak of mogelijkheden om dit op te lossen. Kortom Kpn ruilde / stuurde consumenten die braaf aan de opgeven specificaties van Kpn voldeden en die netjes of op advies een igmp2 snooping switch hadden gekocht en het netwerk/WiFi nog steeds plat ging/ onbereikbaar was tijdens het tv kijken gelijk zonder discussie of technische uitleg of discussie gratis een Netgear tegen hanger waneer de klant eigen TP-link hardware had gekocht.

[Reactie gewijzigd door xbeam op 24 juli 2024 08:11]

shailo @itlee • 8 oktober 2022 16:48

Onmogelijk dat je nog nooit een probleem bent tegengekomen. Vrij regelmatig komen wij in onze organisatie een bug tegen. Laatst moest ik nog door het land rijden om er 1 te herstarten omdat het geheugen vol zat. Daarvoor was er 1 die plotseling al het verkeer van een VLAN naar de WAN poort ging pompen. Niet te vergeten alle problemen die SIP ALG geven bij klanten waarvan wij niet de firewall in beheer hebben. Ontelbaar veel SIP problemen daarmee gehad. Fortigate is heel populair maar zeker niet perfect...

SkiFan @shailo • 8 oktober 2022 20:25

Klopt zeker. Tijdje terug ook een bug gehad, waarbij het kort afwezig zijn van internet de SSL VPN functionaliteit liet crashen. Zat ergens rond 6.0.11 oid.

FateTrap @itlee • 8 oktober 2022 15:16

Zijn Fortinet producten proprietary of open source?

Mijn indruk is dat veel van hun software proprietary is, en dus volledig ongeschikt voor firewalls.

Er is ook een ander probleem met hun producten:

You thought you bought software – all you bought was a lie
https://www.theregister.c...ot_buy_software/?td=rt-3a

You don't own the software. You have no rights over it. The vendors don't even claim it works and, indeed, explicitly state that it might not and if it doesn't it's not their fault and they don't, and won't, promise to fix it.

Het is eigenlijk wel verontrustend om te zien dat zoveel mensen blind vertrouwen op Fortinet producten, dit bedrijf weet vaak beter dan wie ook waar de kwetsbaarheden in hun producten zitten en ze kunnen hun klanten makkelijk misbruiken en controle krijgen over hun netwerken als ze daar zin in hebben.

Ik zou eerder OpenBSD gebruiken voor de firewall infrastructuur van mijn bedrijf, of iets gelijkaardig.

[Reactie gewijzigd door FateTrap op 24 juli 2024 08:11]

Blokker_1999

Malware
Beveiliging en antivirus

@The Zep Man • 8 oktober 2022 10:42

Ik vond het al een beetje vreemd tot ik inderdaad op het einde van die mail kwam. Je moet toegang hebben tot de mgmt interface en ik mag toch echt hopen dat er niet veel beheerders zij die dat zomaar openzetten naar de buitenwereld.

xbeam @Blokker_1999 • 8 oktober 2022 14:14

Ik mag hopen dat er veel beheerder zijn die regelmatig na iedere update hun firewall doorlopen en open porten scannen. Bij veel merken staat deze vaak default al naar buiten open, want handig voor installatie.

In dit geval geen fortigate maar er zijn zelfs merken die hem achteraf gewoon zelf voor je naar buiten open zetten want handig voor hun app

.

https://community.ui.com/...4d-4bcf-a805-584ad210d94a

Add direct remote connection feature for faster connections from mobile apps. *
[…]
* Benefit: Faster remote connections from mobile app from UniFi applications (including Protect)
* Works only on UniFi OS consoles with built-in gateway
* Enabled by default on consoles with Public IP
* Can be turned on/off on System settings -> Advanced
* This feature creates firewall rule that opens port 443 from internet

Dan weet je gelijk weer waarom je jaarlijks met liefde betaald voor je watchguard, Cisco en Forticrape Dozen

[Reactie gewijzigd door xbeam op 24 juli 2024 08:11]

DigitalExorcist @Blokker_1999 • 8 oktober 2022 14:27

Dan nog kunnen er genoegninsider threats zijn

33Fraise33 @The Zep Man • 8 oktober 2022 19:01

Het gaat niet om de interface met de naam "mgmt" maar de management web interface die gewoon SSL encryptie heeft.
Hoewel een IPsec tunnel of dergelijk best practice is, is een web interface of SSH access niet altijd even onlogisch om dit als fallback te hebben. (Hoewel het bestaan van forticloud dit in principe onnodig maakt en deze webinterface via een reverse tunnel beschikbaar stelt).

Het interessante is ook dat de remote op list blijkbaar ook geen invloed heeft op deze CVE. Dus zelf met een lijst met publieke ip's waarvan web Access allowed was kan je alsnog van een ander IP gemelde vulnerability exploiten.

SunnieNL

@The Zep Man • 8 oktober 2022 22:16

Als het via een http of https request kan kan het ook verwerkt worden in een link of in een website (mits de aanvaller het ip-adres/url van de fortigate/fortiproxy weet). Als je dan per ongeluk de link opent per mail of de website bezoekt van buitenaf, wordt de binnenkant aangesproken en kan je nog steeds het probleem hebben.
Daarnaast wordt er naar mijn idee veel te eenvoudig gedacht 'ja, maar die server staat interface staat niet rechtstreeks op het internet, dus ik ben veilig". Een attacker hoeft maar op één machine binnen te komen die die management interface kan bereiken en je bent de zaak.
Zeg je hetzelfde over Windows servers die aan de binnenkant staan en niet over het internet bereikbaar zijn? Ja, het is wel een CVSS score van 9.6, maar wat kan mij nou gebeuren. De aanvaller moet eerst binnen zijn voor hij die server kan bereiken??

Een critical CVE met een score van 9.6 waarvan de vendor zegt dat je zo snel mogelijk moet patchen, daar moet je niet van denken "dat komt wel over een paar maanden". Zo snel mogelijk patchen om ernstiger te voorkomen. Dus deze zou ik echt wel aanraden binnen 14 dagen door te voeren.

[Reactie gewijzigd door SunnieNL op 24 juli 2024 08:11]

awenger 8 oktober 2022 20:23

In de kop van het artikel wordt een rce-lek genoemd, maar in het artikel zelf staat niet uitgelegd wat dat is. Iemand?

Edit: Gevonden: Remote Code Excecution

[Reactie gewijzigd door awenger op 24 juli 2024 08:11]

Hennie-M

8 oktober 2022 15:57

Op mijn FG60E staat 7.2.1 maar kan bij System > Fabric Management geen upgrade meer selecteren.
Nu is mijn license ook verlopen en heb ik wel de juiste .out file van de support pagina. Maar sinds deze firmware kan ik dus via de gui geen firmware upgrade meer uitvoeren.

Shoarma4Life @Hennie-M • 8 oktober 2022 18:19

Fortigate > System > Fabric Management > Selecteer je FG > Upgrade > rechts file upload.

Uiteraard wel zorgen voor een geldig abbo

https://imgur.com/a/SoMABWs

Hennie-M

@Shoarma4Life • 8 oktober 2022 19:36

wow... Compleet gemist!
bedankt!

TheToolGuy @Hennie-M • 8 oktober 2022 19:35

Eigenlijk een nieuw verdienmodel zeg maar ?

Een gapend gat, die de ontwikkelaars hebben laten zitten, mag je alleen maar patchen/dichten als je een dure licentie betaald ???

Waar gaat het heen in de wereld ...

Dracozirion @TheToolGuy • 8 oktober 2022 20:20

Je kan de update ook gewoon als los bestand downloaden met een account hoor.

Clueless @Dracozirion • 9 oktober 2022 00:15

Klopt maar alleen als je een account hebt met een actief support contract er in, anders krijg je geen toegang tot de downloads. Wat overigens wel weer grappig is, is dat een support contract voor welk product dan ook (bijv. een simpele en goedkope FortiSwitch) voldoende is om alle support-downloads te unlocken.

Shoarma4Life @TheToolGuy • 8 oktober 2022 19:45

Nee dat is enterprise support. Je kan prima een pfsense met ips draaien en daar alles op doen wat een fortigate doet. Prima gratis alternatieven. Echter wil je ook support op complexe en kritieke omgevingen dan mag je dit betalen. Logisch want die fortinet heeft ook personeel in dienst.

satya @Hennie-M • 8 oktober 2022 17:39

Als je hier dan niet vatbaar voor wil zijn, dan remote management over het internet uitschakelen. Beter eerst een VPN opzetten, en dan managen van binnenuit.

Hennie-M

@satya • 8 oktober 2022 17:42

Ik ben ook niet vatbaar voor dit probleem, uiteraard staat de management interface uit op alle vlans. Met uitzondering van het beheer vlan.
Maar ik kom er nu wel achter dat het upgraden nu opeens een probleem is. Dat is wel op te lossen via SSH (vermoedelijk) of anders met een usb stick. Maar praktisch is anders.

MPAnnihilator @satya • 8 oktober 2022 20:16

mensen blijven management gui's maar openen vanaf Internet, ze leren het nooit. Bij thuisgebruikers nog te verstaan, maar op professionele implementaties... In dit geval management mogelijkheid op publieke interfaces gewoon afzetten, dan hoef je denk ik niet te patchen ook.

Drardollan @Hennie-M • 8 oktober 2022 17:08

Kijk je niet op de verkeerde plek? Normaal update je de software via System -> Firmware.

Hennie-M

@Drardollan • 8 oktober 2022 17:17

Die is dus vervangen door System > Fabric Management.
Of ik zie hem in ieder geval niet meer.

Drardollan @Hennie-M • 8 oktober 2022 17:37

Excuus, mijn fout. Ik was even vergeten dat die hernoemd was. Werk eigenlijk nooit met 7.0 en hoger.

Shinji @Hennie-M • 8 oktober 2022 17:18

Officieel mag je hem ook niet upgraden als je licentie verlopen is, als je die weer activeert kan je ook weer via de GUI upgraden.

Dat je de firmware wel van de support site kan halen heeft wellicht te maken met dat je bij een partner werkt, dat weet ik niet maar formeel mag je die dus niet voor die 60E gebruiken.

Hennie-M

@Shinji • 8 oktober 2022 17:44

In mijn beleving is met het verlopen van de licentie het niet mogelijk om dit op een makkelijke manier te doen. Maar ik kan het verkeerd geinterpreteerd hebben.
Dat zal ik nog eens uitzoeken. Voor een Lab omgeving/ personal use/training ga ik die licentie in ieder geval niet betalen.

Jiriki @Hennie-M • 8 oktober 2022 18:23

Kun je daarvoor dan niet beter een nfr licentie aanvragen? Dan blijft hij in ieder geval bij de tijd.

Deem 8 oktober 2022 10:30

Je kunt ook patchen naar 7.0.7 als je op de 7.0 branch zit.

Shaggy_NL @Deem • 8 oktober 2022 12:42

De 7.0 branch was niet bijster stabiel. Ik hoorde van een kennis dat HA een kleine ramp was en las wel meer probleem verhalen. 7.2 is een stuk stabieler dus 7.2.2 kan ik aanraden wanneer je al op 7.x zit.

[Reactie gewijzigd door Shaggy_NL op 24 juli 2024 08:11]

Deem @Shaggy_NL • 8 oktober 2022 12:48

Goed dat je het zegt. Volgende week eens naar kijken. De eerste 7.0.x waren inderdaad een drama.

Drardollan @Shaggy_NL • 8 oktober 2022 17:12

De gouden regel voor FortiNet is dat je altijd de oudst mogelijke firmware moet draaien en .0 versies sowieso moet mijden. Maar beter draai je nu dus nog op 6.4, de meest stabiele versie.

Dracozirion @Drardollan • 8 oktober 2022 20:17

Je wordt hier gedownmod maar ook wij draaien ettelijke duizenden Fortigates op de laatste van 6.4 omwille van grove bugs waaronder memory leaks in 7.0 en 7.2.

Nu lijkt me "de oudst mogelijke" ook wel niet echt correct.

[Reactie gewijzigd door Dracozirion op 24 juli 2024 08:11]

Drardollan @Dracozirion • 8 oktober 2022 20:52

Iedereen met NSE4 of hoger zal het beamen. FortiGate staat erom bekend dat de oudste versie in support (want dat is uiteraard wel vereist) de beste keuze is als je gaat voor stabiliteit en betrouwbaarheid. Een .0 (zoals 7.0) moet je echt enkel in het uiterste geval gebruik van maken. Een .2 (zoals 7.2) is geschikt voor plekken die niet bedrijfskritisch zijn maar wel gebruik willen maken van nieuwe technieken. Vanaf de .4 versies is FortiOS rock solid.

xbeam @Drardollan • 8 oktober 2022 22:53

Ik neem aan dat een OS versies onder support wel gewoon alle veiligheid updates krijgt?

Drardollan @xbeam • 9 oktober 2022 08:23

Uiteraard

Maar de 6.4, om maar een voorbeeld te noemen, krijgt geen feature updates meer (tenzij dit gerelateerd is aan een onveiligheid). Binnen de algemene OS wereld zou je dit een LTS versie noemen.

Maar zolang er support is krijg je security updates.

[Reactie gewijzigd door Drardollan op 24 juli 2024 08:11]

Dracozirion @Drardollan • 8 oktober 2022 23:08

Die .4 gaat in 7.0 ook al niet meer op. Kijk maar in de release notes van 7.0.4, 7.0.5, 7.0.6 - telkens meerdere memory leaks bij de "known issues" lijst. En niet alleen dat, maar ook erge bugs zoals "FortiGate shows partial view of policies after upgrading" en tal van andere problematische als je aardig wat features gebruikt.

Drardollan @Dracozirion • 9 oktober 2022 08:25

.4 als in 7.4.x

Grote kans dat 7 net als 5 op den duur een 7.6 gaat krijgen gezien alle problemen. Tot op heden is de 7, en dan vooral de 7.0, niet het beste product ooit van Forti.

Falcon10 @Shaggy_NL • 8 oktober 2022 15:16

Jup, maar nog niet alle hardware van Fortinet zit op de 7.2 firmware.
Een boel van hun switchen zit nog op de 7.0 versie, en he tis onduidelijk in hun upgradematrix of je nu eigenlijk je firewalls naar 7.2 kan brengen als de daaraangekoppelde( met Fortilink ) Fortiswitchen nog geen 7.2 firmware hebben, en je dus op 7.0.6 moet blijven.

Voorbeeld : Fortigate 61F kan al op 7.2, maar als je een Fortiswitch 224e of Fortiswitch 108e fpoe via Fortilink hieraan gekoppeld hebt, zit je op de switchen nog op 7.0.6.
En geen idee of dat goed werkt, vind ik ook maar weinig info over.

Shaggy_NL @Falcon10 • 8 oktober 2022 15:17

Gelukkig is je switch niet meteen aan het internet gekoppeld.

Drardollan @Shaggy_NL • 9 oktober 2022 08:29

En is het switch OS ook niet kwetsbaar

Yzord 8 oktober 2022 10:55

Een patch uitbrengen voor een zeer kritiek lek, maar zonder details ervan vrij te geven vind ik ook wel raar. Nu zal de patch best helpen, maar het zou ook fijn zijn of je er achter kan komen of je al slachtoffer bent geworden van het lek.

SunnieNL

@Yzord • 8 oktober 2022 22:25

Blijkbaar acht Fortinet het probleem zo groot dat ze de details nog even willen laten wachten, zodat iedereen de tijd heeft om te patchen. Als de details naar buiten komen heb je kans dat er een grootschalige aanval plaatsvindt en daar zit ook niet iedereen op te wachten zo in het weekend.

Flytezero 8 oktober 2022 11:46

Daar ging mijn vrijdag avond. Management interface dicht van buiten af maar toch geen risico willen lopen.

Boeshnl @Flytezero • 8 oktober 2022 12:00

Je bedoeld dat het 10 min kost per firewall? Zo geregeld deze update. En zeker met een HA merk je er niks van.

[Reactie gewijzigd door Boeshnl op 24 juli 2024 08:11]

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Malware

@Boeshnl • 8 oktober 2022 12:15

Je bedoeld dat het 10 min kost per firewall?

Als je zonder testen een patch in productie doorvoert op je enige firewall kan het vast in 10 minuten. In de iets professionelere omgevingen duurt het doorgaans iets langer. Het is ook nog eens afhankelijk van welke diensten je gebruik maakt. Zo worden VPN connecties bijvoorbeeld verbroken lijkt het. Daar wil je misschien over communiceren op voorhand.

[Reactie gewijzigd door Bor op 24 juli 2024 08:11]

Boeshnl @Bor • 8 oktober 2022 12:58

Klopt vpn wordt verbroken maar die is met een HA cluster binnen 2sec weer terug en tsja testen. Van 7.0.6 naar 7.0.7 is het risico dat dingen kapot gaan klein. En anders heb je natuurlijk een backup dat je terug kan b

xbeam @Boeshnl • 8 oktober 2022 21:07

Snap de discussie ook niet helemaal. Firmware update roll-back kunnen uitgevoerd zonder(lees minimale) down time door gewoon zoal bij alle professionele/ beter zakelijke merken de run image/partitie te wijzigen. Vaak kan je ook de 2de run image update terwijl de gateway live blijft. Hierdoor is het enkel een reboot op gecalculeerd gunstig moment en wanneer je eerst je HSRP update heb je NUL downtime

Vraag me met het lezen van de commentaren wel af hoe de gateways/ routers van veel tot HA benoemde omgeving update of herstel en dan met down time achter hun scherm wachten tot ze klaar zijn met uitvoeren of met hand de configuratie proberen te herstellen? Niets hoeft langer dan herstart van een 1 unit te duren.

https://community.fortine...194743?externalID=FD47734

Technical Tip: How to revert HA cluster unit to the previous firmware image
Description
FortiGate has two boot partitions on its flash drive to store firmware images and configuration files.
When Fortigate firmware is upgraded, the new firmware image is stored on one partition (which becomes primary) while the previous firmware image will still be stored on another partition as a backup image (secondary).
In some cases, firmware upgrades cause unexpected issues and reverting to the previous image is a fast fix worth considering.
This article describes how to revert FortiGate to the previous firmware image when having an HA cluster.
Some precautions are required in a High Availability setup.

Solution
The following CLI commands can be used to perform a quick roll-back of the FortiGate firmware:

FGT# diag sys flash list
FGT# execute set-next-reboot secondary
FGT# exec reboot

When it comes to HA operation, there are few things to mention:
- These commands are not synchronized and must be used on each and every FortiGate unit member of the cluster.

The units will boot with the newly selected firmware image and the HA master will be selected according to FortiOS HA master election process.
Note the override flag/priority/monitored interfaces.

- Direct console access, or cable access to a port, or dedicated management interface is strongly recommended for each of the units in the cluster.

If the units are not rebooted at the same time, then after reboot the cluster may no longer form, and create a split-brain scenario.
Second unit may not be reachable through '# exec ha manage'.

- Since all of the configuration changes performed since the upgrade will be lost, it is necessary to reconfigure access to the FortiGate (only if changes performed after upgrade)

[Reactie gewijzigd door xbeam op 24 juli 2024 08:11]

Boeshnl @xbeam • 8 oktober 2022 21:38

Fortigate is inderdaad snel. Ik werk ook met Cisco firepower. Een reboot duurt minimaal 30 min tot 45 min 😁

xbeam @Boeshnl • 8 oktober 2022 22:07

Ik neem aan dat je eerst je live staande secondaire HSRP $_/-\o_$ update er niets down hoeft / gaat tijdens update. Daarnaast gaan veel IT zelfstandig of beheerders vaak in de emoties van de klant en vergeten of hebben helemaal niet door 99% uptime belofte op hun site of bij grote bedrijven door sales verkochte 99% uptime betekent. De emotie is vaak dat er helemaal niets down mag betekent. Maar Sales heeft niet voor 1% down time met klant afgesproken. Dus gebruik die 1.5 uur per maand dat je het netwerk plat mag leggen om één keer maand op je gemak alle firmware Patches en updates van hardware te pushen of met de hand te installeren.

Gateways met een uptime van 365 dagen of langer kom je helaas, voor ons gelukkig nog dagelijks tegen.

[Reactie gewijzigd door xbeam op 24 juli 2024 08:11]

Boeshnl @xbeam • 9 oktober 2022 14:59

Op sommige locaties hebben we maar 1 firepower. Maar het geluk is dat deze locaties van onszelf zijn en de directie zegt: gewoon doorvoeren die update. Die downtime kunnen we wel hebben en anders via hotspot + SSL vpn werken die naar hoofdkantoor staat.

Flytezero @Boeshnl • 8 oktober 2022 15:20

Wel zo geregeld maar wel laat in de avond, met ha paar seconden down. Het is ook maar net wat je er achter hebt hangen.