Fortinet waarschuwt voor actief misbruikte rce-kwetsbaarheid in FortiOS SSL-VPN

Fortinet roept gebruikers op om hun apparaten van het bedrijf te updaten. Dat doet Fortinet naar aanleiding van een kwetsbaarheid in FortiOS SSL-VPN, die remote code execution mogelijk maakt en actief wordt misbruikt.

Fortinet publiceerde deze week een 'advisory' met informatie over de kwetsbaarheid, die de code CVE-2022-42475 krijgt. Volgens het bedrijf gaat het om een kwetsbaarheid op basis van een bufferoverflow. De kwetsbaarheid maakt het mogelijk om op afstand code uit te voeren op het systeem van een slachtoffer zonder dat daarvoor authenticatie nodig is. Het lek krijgt een CVSSv3-score van 9,3 uit 10 en wordt daarmee aangemerkt als 'kritiek'. Ook het Nederlandse NCSC waarschuwt voor de kwetsbaarheid.

Fortinet is naar eigen zeggen op de hoogte van zeker één geval waarin de kwetsbaarheid is misbruikt. Het bedrijf geeft weinig concrete details over de bug, maar deelt wel indicatoren waarmee klanten kunnen bepalen of hun systemen mogelijk zijn getroffen. Fortinet deelt bijvoorbeeld lijstjes met verdachte log-entries en bepaalde bestanden die aanwezig kunnen zijn in het filesysteem. Het bedrijf vermeldt ook een aantal IP-adressen waarvan bekend is dat ze de kwetsbaarheid misbruiken.

De kwetsbaarheid werd als eerste ontdekt door het Franse cybersecuritybedrijf Olympe Cyberdefense, schrijft ook BleepingComputer. Ze zou eerder al stilletjes gedicht zijn, zonder dat Fortinet bekendmaakte dat ze actief misbruikt werd. Bronnen van BleepingComputer stellen echter dat het bedrijf op 7 december een 'privé-advisory' heeft gestuurd naar klanten, met daarin meer informatie over de bug. De publieke bekendmaking vond pas deze week plaats. In oktober werd een ander ernstig rce-lek aangetroffen in de FortiGate-firewalls van het bedrijf.

FortiOS-versies die kwetsbaar zijn voor CVE-2022-42475 en oplossing (via Fortinet)
Kwetsbare versies Oplossing
FortiOS-versies 7.2.0 tot en met 7.2.2 Upgrade naar FortiOS-versie 7.2.3 of nieuwer
FortiOS-versies 7.0.0 tot en met 7.0.8 Upgrade naar FortiOS-versie 7.0.9 of nieuwer
FortiOS-versies 6.4.0 tot en met 6.4.10 Upgrade naar FortiOS-versie 6.4.11 of nieuwer
FortiOS-versies 6.2.0 tot en met 6.2.11 Upgrade naar FortiOS-versie 6.2.12 of nieuwer
FortiOS-6K7K-versies 7.0.0 tot en met 7.0.7 Upgrade naar FortiOS-6K7K-versie 7.0.8 of nieuwer
FortiOS-6K7K-versies 6.4.0 tot en met 6.4.9 Upgrade naar FortiOS-6K7K-versie 6.4.10 of nieuwer
FortiOS-6K7K-versies 6.2.0 tot en met 6.2.11 Upgrade naar FortiOS-6K7K-versie 6.2.12 of nieuwer
FortiOS-6K7K-versies 6.0.0 tot en met 6.0.14 Upgrade naar FortiOS-6K7K-versie 6.0.15 of nieuwer

Door Daan van Monsjou

Nieuwsredacteur

Feedback • 13-12-2022 08:38
34 • submitter: Dannyvrf

13-12-2022 • 08:38

34

Submitter: Dannyvrf

Lees meer

Fortinet bevestigt cyberaanval, mogelijk 440GB aan bedrijfsgegevens gestolen
Fortinet bevestigt cyberaanval, mogelijk 440GB aan bedrijfsgegevens gestolen Nieuws van 13 september 2024
MIVD: Chinese FortiGate-spionagecampagne is omvangrijker dan eerder gedacht
MIVD: Chinese FortiGate-spionagecampagne is omvangrijker dan eerder gedacht Nieuws van 10 juni 2024
Fortinet waarschuwt voor zeroday waarmee SQL-injectie op FortiClient mogelijk is
Fortinet waarschuwt voor zeroday waarmee SQL-injectie op FortiClient mogelijk is Nieuws van 22 maart 2024
Fortinet waarschuwt voor kritieke kwetsbaarheden in FortiOS en FortiProxy
Fortinet waarschuwt voor kritieke kwetsbaarheden in FortiOS en FortiProxy Nieuws van 14 maart 2024
NCSC en DTC waarschuwen voor Outlook-bug waarvan proof-of-concept online staat
NCSC en DTC waarschuwen voor Outlook-bug waarvan proof-of-concept online staat Nieuws van 16 februari 2024
Fortinet waarschuwt voor ernstige remotecode-executionbug in FortiOS-vpn
Fortinet waarschuwt voor ernstige remotecode-executionbug in FortiOS-vpn Nieuws van 9 februari 2024
MIVD vindt Chinese spionagesoftware op Fortinet-systeem van krijgsmacht
MIVD vindt Chinese spionagesoftware op Fortinet-systeem van krijgsmacht Nieuws van 6 februari 2024
ASUS patcht drie routers die kwetsbaar zijn voor remote code execution
ASUS patcht drie routers die kwetsbaar zijn voor remote code execution Nieuws van 6 september 2023
Fortinet brengt patch uit voor remote code execution-bug in FortiOS en -vpn
Fortinet brengt patch uit voor remote code execution-bug in FortiOS en -vpn Nieuws van 13 juni 2023
Fortinet waarschuwt klanten voor ernstig rce-lek in FortiGate-firewalls
Fortinet waarschuwt klanten voor ernstig rce-lek in FortiGate-firewalls Nieuws van 8 oktober 2022
Hackers publiceren wachtwoorden voor bijna 500.000 Fortinet-vpn-accounts
Hackers publiceren wachtwoorden voor bijna 500.000 Fortinet-vpn-accounts Nieuws van 9 september 2021
CISA: kwetsbaarheden in Citrix en vpn's werden sinds 2020 vaakst aangevallen
CISA: kwetsbaarheden in Citrix en vpn's werden sinds 2020 vaakst aangevallen Nieuws van 29 juli 2021
Lijst met 50.000 inloggegevens van bedrijven met Fortinet-vpn verschijnt online
Lijst met 50.000 inloggegevens van bedrijven met Fortinet-vpn verschijnt online Nieuws van 23 november 2020
Meer producten en artikelen
Beveiliging en antivirus Fortinet Vulnerability

Reacties (34)

-Moderatie-faq
34
34
19
2
0
9
Wijzig sortering
Yariva Moderator internet & netwerken 13 december 2022 09:38
Wat belangrijk is voor 100F gebruikers is dat zodra je een upgrade doorvoert op de 6.4, 7.0 en 7.2 train (a.k.a. je upgrade naar 6.4.11, 7.0.9 of 7.2.3) je in contact gaat komen met de "Fortigate 100F randomly reboot" bug. Dat kan voor ons een reden zijn om i.p.v. een upgrade naar andere mitigatie strategieën te zoeken.
enveekaa @Yariva13 december 2022 12:48
Heb je meer info/bron over deze bug?
Yariva Moderator internet & netwerken @enveekaa13 december 2022 13:03
Fortinet bug ID 827240.

Tenzij je toegang hebt tot het partner portal kan je deze informatie het beste vinden in de release notes. In dit voorbeeld van 7.0.9 https://docs.fortinet.com...notes/236526/known-issues.

Wel ironisch dat 7.0.9 de eerste patch versie is met het label "Mature", waarbij er wel af en toe een apparaat spontaan down gaat :+
D0phoofd @Yariva14 december 2022 15:50
Dit is echt een grap.
Hoe kan je een producent ala Fortinet die zich profileert als "{buzzword} security {handlesmerk/dienst}" serieus nemen op deze manier?

Ik stoor mijzelf er persoonlijk aan hoe dit gaat. Bijna maandelijks, of meermaals hebben ze een gapend gat en dan patchen ze het dusdanig dat er een ander probleem ontstaat zoals jij beschrijft.
Fijn dat de producten van hun relatief goedkoop zijn, maar het zorgt wel voor kopzorgen, overwerk, en mogelijk (waar je het ding voor koopt) een maandelijks beveiligings lek in je infra...
InjecTioN 13 december 2022 08:47
Wat niet meegenomen wordt in dit issue:
Het issue valt ook te mitigeren door de tunnels te vervangen door IPsec tunnels. Die lijken hierdoor namelijk niet te zijn geraakt. Dus SSL-VPN uitschakelen tot FortiOS ge-update is.

Overigens heeft Fortnite hier weinig mee van doen. :X
Fortnite deelt bijvoorbeeld lijstjes met verdachte log-entries en bepaalde bestanden die aanwezig kunnen zijn in het filesysteem.
Ascension @InjecTioN13 december 2022 08:56
Als al je gebruikers ingesteld staan op SSL VPN ga je niet even overschakelen naar IPSec VPN. Dan lijkt het me sneller en makkelijker om de update uit voeren (die al beschikbaar is).
InjecTioN @Ascension13 december 2022 09:05
Dit is wel de juiste instelling inderdaad. Echter kan het voorkomen dat men niet naar de laatste versie toe kan i.v.m. een known issue. Dan is dit een prima oplossing, ook al is het vaak veel werk. "Het is veel werk" is in geval van security een slecht excuus om iets niet te doen. (niet dat jij dat zegt)
Zer0 @InjecTioN13 december 2022 10:14
Dan is dit een prima oplossing, ook al is het vaak veel werk.
Het vele werk is geen probleem, de tijd die nodig is wel. Als je SSL VPN blokkeert en daardoor al je remote werkers niet of maar deels kunnen werken tot ze aan de beurt zijn voor het omzetten naar IPSec VPN, kan dat een hoop geld kosten voor de organisatie.
InjecTioN @Zer013 december 2022 10:40
Het is juist relevant om een risicoanalyse daarop los te laten:
  • Hoe hoog acht je het risico dat de vulnerability geëxploiteerd wordt?
  • Binnen welk tijdsvenster verwacht je de update alsnog door te kunnen voeren?
  • Wanneer er wel een security breach is geweest, bij welke data kan men dan?
  • Als men in zo'n geval bij data kan, hoe erg is dat?
  • Zijn er privégegevens of bedrijfsgeheimen waar men dan bij kan?
  • Wat kost een boete, geïnitieerd door een AVG, in verband met het issue dat speelt, wat niet tijdig opgelost is - ondanks dat je wist dat het issue speelde?
  • Wat kost het om dit zo snel mogelijk door te voeren?
  • imagoschade als dit niet doorgevoerd wordt?
En zo zijn er nog wel een aantal dingen die meetellen. Hier wordt bijvoorbeeld ook al aangegeven dat er een random reboot -issue in de nieuwere firmware updates zit. Dat zou alleen geen parten mogen spelen bij een kritieke security update voor hardware die noodzakelijk is voor de bedrijfsvoering, want zoiets vang je af met functionaliteit zoals HA (High Availability - redundancy door meerdere units te gebruiken).

Dit zijn een hoop zaken om mee te nemen tijdens de change management procedure, onder het kopje risicoanalyse. Het is dus niet zo "zwart-wit" als "wel doen" of "niet doen". Daarom bestaat Change Management. :)
Polderviking @InjecTioN13 december 2022 11:11
Hier wordt bijvoorbeeld ook al aangegeven dat er een random reboot -issue in de nieuwere firmware updates zit. Dat zou alleen geen parten mogen spelen bij een kritieke security update voor hardware die noodzakelijk is voor de bedrijfsvoering, want zoiets vang je af met functionaliteit zoals HA (High Availability - redundancy door meerdere units te gebruiken).
HA lijkt me niet iets wat "zondermeer" gebruikt wordt door iedereen. Kost immers wel gewoon geld om dat te hebben en noodzaak om het te hebben is er lang niet altijd.
Dus dat zo'n random reboot issue je update niet mag tegenhouden vind ik wel wat kort door de bocht.

Zelfs met HA trouwens. Ken de details van dat issue niet maar als die reboots echt random zijn kunnen er dus ook gewoon machines tegelijk rebooten?
robertlinke @Polderviking13 december 2022 11:55
technisch gezien zou dat kunnen, maar de kans daarop is wel erg klein.
ik zou dat risico wel durven nemen in een highly available omgeving.

maar dat ben ik zelf, voor iemand anders zijn omgeving moet ie zelf kijken wat gewenst is of niet.
Annihlator @Polderviking13 december 2022 15:59
Plus, gezien het SSL-VPN's betreft, zullen hierdoor ongekend sessies kunnen wegvallen/verbroken worden.
Afhankelijk van de situatie kan dat óók neveneffecten hebben; denk aan een situatie met werken op afstand waar middels RDP over de VPN gewerkt wordt en bij het ontkoppelen van de sessie de gebruiker afgemeld wordt; dus ook eventueel werk-/gegevensverlies; of kan zo'n SSL-VPN in een HA opstelling sessies naadloos overzetten? daar weet ik zelf niet het fijne van, maar zou aannemen van niet.
Verwijderd @InjecTioN13 december 2022 12:47
InjecTioN schreef:
Het is juist relevant om een risicoanalyse daarop los te laten:
[...]
Daarom bestaat Change Management. :)
Aan risicoanalyses en change management heb je niets als leveranciers van internet-facing (beveiligings-) apparatuur ernstige kwetsbaarheden patchen en daar pas openheid van zaken over geven zodra de eerste klanten gehacked zijn.

Een bedrijf als Fortinet zou moeten weten dat vooral onaardige mensen elke update bindiffen om te zoeken naar exploiteerbare fixes.

Ik vind dit laakbaar gedrag van Fortinet.

Aanvulling 16:52: zie ook mijn latere reactie met de vermoedelijke oorzaak.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 23:31]

Yordi- @InjecTioN13 december 2022 08:58
Waardeloos advies.

Een IPSec VPN is volstrekt wat anders dan een SSLVPN en om verschillende redenen niet 1:1 te vervangen.

Gewoon je spullen updaten. Met een fatsoenlijke HA inrichting geen centje pijn op Fortinet.

[Reactie gewijzigd door Yordi- op 22 juli 2024 23:31]

InjecTioN @Yordi-13 december 2022 09:02
Ze zijn beide in essentie natuurlijk compleet verschillend van elkaar, maar dienen in een dergelijk geval (meestal) wel hetzelfde doel: Een VPN/tunnel verbinding.

Het gaat tenslotte om het mitigeren van het issue, waarbij kwaadwillenden dingen kunnen doen die we niet willen. Het uitschakelen van de functionaliteit met deze kwetsbaarheid is slechts een tussenoplossing wanneer de update (om welke reden dan ook) niet geïnstalleerd kan worden.
Niet Henk @InjecTioN13 december 2022 11:18
Een SSL VPN kan je gebruiken op worksites waar alleen poort 80 en 443 voor uitgaand verkeer toegestaan zijn. Vandaar is IPSec/L2TP vaak geen goed alternatief, alleen SSTP/OpenVPN fungeren gelijkwaardig.
Faifz @Niet Henk13 december 2022 18:36
IPSec werkt voor PAN GlobalProtect over 4501 ipv 4500. Dus het kan perfect over 443 gaan, maar dat wordt nooit gedaan. Meestal is 443 gereserveerd voor de portal en de TLS vpn.

Als je een edge router voor de FW hebt, kan je altijd 443:4500/udp vertalen op de edge router. Dan werkt het over 443.
DrPoncho @Yordi-13 december 2022 09:12
@InjecTioN gaf het niet als advies, hij gaf een alternatieve mitigatie als mogelijkheid. Of het toepasbaar voor je is moet je zelf bepalen.
AuteurAverageNL Nieuwsredacteur @InjecTioN13 december 2022 08:50
Overigens heeft Fortnite hier weinig mee van doen. :X
Oeps 8)7

Ik heb het aangepast (en ga meteen nog een kop koffie zetten ;)). Thanks!
LiquiD-AciD @AverageNL13 december 2022 08:54
Gister net geüpdatet toevallig/

Smakelijk, er staat nu Fprtinet :)
AuteurAverageNL Nieuwsredacteur @LiquiD-AciD13 december 2022 08:56
Thanks! Twee koppen koffie it is :X
Kubusia @AverageNL13 december 2022 10:04
Misschien tijd voor een derde :P "Het Nederlandse NCSS waarschuwt" -> NCSC
kodak
13 december 2022 10:30
Dit is dus al het tweede beveiligingsprobleem in korte tijd dat code valt uit te voeren. Hoeveel klanten eisen bij Fortinet om bewijs dat ze veilig ontwikkelen en voldoende op dit soort fouten testen? Het lijkt er namelijk meer op dat er zomaar vertrouwen in dit soort producten is.
robertlinke @kodak13 december 2022 12:01
nou, het feit dat ze zodra het bekent is meteen alarm slaan, EN dat deze exploits alleen werken met een oudere versie, die gemakkelijk geupdate kan worden, denk ik niet dat er werkelijk een probleem is bij fortinet zelf.
Tha Render_2 @robertlinke13 december 2022 12:34
Ik denk het wel, weet dat dit een zero day was enkele weken geleden. De reden waarom ze nu alarm slaan is omdat ze een patch hebben gemaakt, die was er in de vorige weken nog niet maar de vulnerabiliteit werd wel al actief misbruikt. Het is trouwens niet de eerste keer dat er een kritische bug zit in hun SSL VPN software, dit komt echt regelmatig voor en is al vaker een bron van cyberaanvallen geweest, denk maar aan https://nvd.nist.gov/vuln/detail/CVE-2018-13379 en https://nvd.nist.gov/vuln/detail/CVE-2020-12812. Feit dat dit steeds opnieuw terug komt wilt zeggen dat ze wel degelijk met een probleem zitten.
kodak
@robertlinke13 december 2022 19:01
Het probleem dat de code niet veilig genoeg blijkt voor dit soort enorme zware beveiligingsbugs is niet opgelost met vooral willen reageren op problemen die anderen vinden nadat iemand er al fout gebruik van heeft gemaakt. Het toont hooguit dat ze na melden en ontstaan van problemen pas iets doen. Het toont niet dat ze van die meldingen leren om de bestaande code beter of goed genoeg te controleren voordat ze die blijven laten gebruiken zolang een ander niet klaagt.

En als Fortinet dus kennelijk niet uit zichzelf toont dat ze van die fouten leren, terwijl die fouten grote gevolgen voor de klanten kunnen hebben zolang niemand ze aan Fortinet laat weten, dan lijkt me dat je als klant toch wel wil weten waaruit blijkt dat Fortinet hun bestaande code voldoende controleert voordat ze hun klanten risico laten nemen.
meowmofo @kodak13 december 2022 14:40
Als iemand die lange tijd zeer intensief heeft samen gewerkt met Forti productontwikkeling kan ik je vertellen dat de manier van ontwikkelen daar echt volkomen dra-ma-tisch is. Ik heb een aantal jaar lang FortiSIEM moeten ondersteunen en sinds het begin nog geen enkele release gehad waar niet een major breaking issue in zat. Vaak het probleem dat je wel moesten upgraden i.v.m. gevonden security issues. Als je dan eindelijk een fix kreeg voor wat ze dan weer kapot hadden gemaakt, dan viel wel weer het volgende ding om. Voor mij nooit, maar dan ook nooit meer een product uit de Fortinet stal.
Verwijderd @kodak13 december 2022 16:50
kodak schreef o.a.:
Hoeveel klanten eisen bij Fortinet om bewijs dat ze veilig ontwikkelen en voldoende op dit soort fouten testen?
Als het klopt wat ik hier onderbouw, gaat het om een "supply chain" bug in OpenSSL, gemeld op 1 november 2022.

Een kwaadaardig client-certificaat kan CVE-2022-3602 en/of CVE-2022-3786 uitbuiten als de VPN-server de in de OpenSSL advisory genoemde integriteitschecks niet uitvoert.

De fout van Fortinet lijkt dat zij de relevantie van de OpenSSL advisory niet begrepen hebben voor hun product(en) (of de advisory niet eens gelezen hebben), en silently -zonder vermelding in de release notes- OpenSSL hebben geüpdated in FortiOS v7.2.3.
Cowamundo 13 december 2022 08:47
Het duurde even voor ik doorhad dat het niet om een “Fortnite OS” ging.

Jammer dat er in dit soort artikelen nooit wat meer informatie over de software wordt gegeven en waar het voor dient.
Shaggy_NL @Cowamundo13 december 2022 08:57
Dat weten (en mogen de meeste) vaste bezoekers hier wel.

Het bedrijf Fortinet werd in 2000 opgericht en het spel Fortnite kwam uit in 2017.
flashback1989 @Cowamundo13 december 2022 09:32
er staat gewoon fortigate firewalls in de tekst + als je er mee werkt weet je het wel
Rzarect0r 13 december 2022 09:08
Ik dacht ff dat het om Fortnite ging 8)7
cowbalt 13 december 2022 15:35
eigenlijk best bizar dat bovenaan dit artikel bij "lees meer" een soortgelijk bericht staat: Fortinet waarschuwt klanten voor ernstig rce-lek in FortiGate-firewalls 8)7

En volgens mij is dit het tweede VPN gat dit jaar bij hun. Ben wel een beetje klaar met dit soort berichten van hun. |:(

[Reactie gewijzigd door cowbalt op 22 juli 2024 23:31]

timscheers 14 december 2022 16:14
Intussen heeft Fortinet bekend gemaakt dat nog meer FortiOS versies vulnerable zijn:

Affected Products

FortiOS version 7.2.0 through 7.2.2
FortiOS version 7.0.0 through 7.0.8
FortiOS version 6.4.0 through 6.4.10
FortiOS version 6.2.0 through 6.2.11
FortiOS version 6.0.0 through 6.0.15
FortiOS version 5.6.0 through 5.6.14
FortiOS version 5.4.0 through 5.4.13
FortiOS version 5.2.0 through 5.2.15
FortiOS version 5.0.0 through 5.0.14
FortiOS-6K7K version 7.0.0 through 7.0.7
FortiOS-6K7K version 6.4.0 through 6.4.9
FortiOS-6K7K version 6.2.0 through 6.2.11
FortiOS-6K7K version 6.0.0 through 6.0.14

Eerder was aangegeven dat enkel versies vanaf 6.2.0 vulnerable zouden zijn.

https://fortiguard.fortinet.com/psirt/FG-IR-22-398

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq