Fortinet brengt patch uit voor remote code execution-bug in FortiOS en -vpn

Fortinet heeft een patch uitgebracht voor een remote code execution-kwetsbaarheid in zijn FortiOS-firmware en vpn-dienst. Wat de bug precies inhoudt, is niet bekend, maar volgens onderzoekers is het mogelijk om op afstand code uit te voeren op apparaten.

De bug wordt getrackt als CVE-2023-27997, maar er zijn nog geen officiële details over openbaar gemaakt. Fortinet trackt de bug zelf als FG-IR-23-097. Wel zijn er verschillende beveiligingsinstanties en -bedrijven die claimen meer informatie over het lek beschikbaar te hebben. Zo schrijft het Australische cybersecuritycentrum dat de kwetsbaarheid het mogelijk maakt om rechten te krijgen op een machine waarmee code kan worden uitgevoerd. De kwetsbaarheid werd gevonden door een beveiligingsonderzoeker, maar vanwege het responsibledisclosureproces heeft die zelf ook nog geen details bekendgemaakt. Fortinet zegt dat de kwetsbaarheid een heap based buffer overflow is, maar ook dat bedrijf geeft verder geen details.

Volgens Fortinet treft de kwetsbaarheid iedere versie van FortiOS tussen versie FortiOS-6K7K 6.0.10 en 7.0.10, en FortiOS 6.0.16 en 7.2.4. Bij vpn-dienst FortiProxy zit de kwetsbaarheid in 1.1 en 1.2, 2.0.0 tot 2.0.12, en tussen 7.0.0 en 7.2.3.

Fortinet zelf zegt dat de kwetsbaarheid actief wordt misbruikt. Dat zou gebeuren in de Volt Typhoon-malwarecampagne. Dat is een hackersgroepering die zich voornamelijk richt op kritieke telecominfrastructuur in de Verenigde Staten en Azië. De aanvallers komen vaker binnen via Fortinet-apparatuur en gebruiken daarna living off the land-technologie om voornamelijk informatie te stelen en spionageactiviteiten uit te voeren.

Reacties (88)

HellStorm666 13 juni 2023 09:00

Is er een bepaalde nieuwsbrief, RSS, Discord of weet ik het wat waar ik kan abonneren om dit soort meldingen véél eerder te krijgen?

telenut @HellStorm666 • 13 juni 2023 09:36

https://advisories.ncsc.nl/rss/advisories

BaszCore @telenut • 13 juni 2023 10:20

Deze heb ik inderdaad via een RSS addon in Teams. Krijg je een alert als er nieuws is. Super handig en snel :-)

hasseroderman @BaszCore • 13 juni 2023 10:34

Nice. Welke addon precies?

BaszCore @hasseroderman • 13 juni 2023 10:37

https://rss.app/blog/how-...in-microsoft-teams-QwFCa1
Alstu

Duke of Savage @BaszCore • 13 juni 2023 15:54

Thanks, dat is een goeie tip!

the_stickie @HellStorm666 • 13 juni 2023 11:22

Ik raad je aan je in te schrijven op de (security) nieuwsbrieven van je voornaamste softwareleveranciers. Verder heeft het NIST/ de CISA heel goeie securitynieuwsbrieven. Je krijgt aparte waarschuwingen als kwetsbaarheden ernstig zijn of in het wild gebruikt worden, lijsten met recente CVE's (mét CVSS scores) en best practice guidance.
https://public.govdeliver...new?preferences=true#tab1

DareFace @HellStorm666 • 13 juni 2023 09:04

Fortinet heeft zijn eigen RSS feeds. Deze kan je hier vinden: https://www.fortiguard.com/rss-feeds

Spacialz @HellStorm666 • 13 juni 2023 11:36

Wij maken gebruik van de RSS feed in Teams van de overheid https://www.ncsc.nl/
Zet je notificaties aan en hoog dan mis je niet zo heel veel, ze zijn niet de snelste maar het werk wel prima!

Frame164 @HellStorm666 • 13 juni 2023 09:07

Krijg je dit soort infromatie niet gewoon van je leverancier?

SmokingSig @Frame164 • 13 juni 2023 09:20

Dat hangt van leverancier tot leverancier af. Sommige bedrijven krijgen eerder toegang (gold/platinum partners etc.) dan het publiek. En tussen de leveranciers zijn er ook verschillen.

[Reactie gewijzigd door SmokingSig op 23 juli 2024 17:54]

databeestje @SmokingSig • 13 juni 2023 10:47

Ik volg Kevin Beaumont en Gossithedog op Twitter/Mastodon

Daar komen veel security issues eerder voorbij in het gerucht stadium. Ook reddit/r/fortinet had deze eerder opgemerkt dan de aankondiging

Icey @Frame164 • 13 juni 2023 14:23

Ik werd gisteren al gebeld, ligt dus aan je leverancier

Shamalamadindon @HellStorm666 • 13 juni 2023 09:28

r/sysadmin, r/msp, https://discord.gg/mspgeek
Als je je actief in dit soort communities begeeft krijg je een hoop info beter mee.

DaniëlWW2 Moderator GC @HellStorm666 • 13 juni 2023 09:33

Die van de Rijksoverheid bijvoorbeeld.

https://www.ncsc.nl/actueel

dempsey1965 @DaniëlWW2 • 13 juni 2023 09:40

Die was een dag te laat

eerste vermelding was op 2023-06-11 23:06:01 bron:
https://www.reddit.com/r/..._preauth_rce_update_your/

[Reactie gewijzigd door dempsey1965 op 23 juli 2024 17:54]

mduijm

@HellStorm666 • 13 juni 2023 21:04

Hier kan je ook abonneren en is er meer informatie te vinden over de vulnerability.
https://www.fortinet.com/blog

Antenne Bayern 13 juni 2023 08:50

Fortinet zelf zegt dat de kwetsbaarheid actief wordt misbruikt. Dat zou gebeuren in de Volt Typhoon-malwarecampagne. Dat is een hackersgroepering die zich voornamelijk richt op kritieke telecominfrastructuur in de Verenigde Staten en Azië. De aanvallers komen vaker binnen via Fortinet-apparatuur en gebruiken daarna living off the land-technologie om voornamelijk informatie te stelen en spionageactiviteiten uit te voeren.

Wij zijn door dit soort gedoe bij Fortinet ook geswitched naar Palo Alto Networks..//

joshbergm @Antenne Bayern • 13 juni 2023 08:56

Dit is inderdaad al het zoveelste SSL-VPN lek binnen Fortinet....
Voor de rest is het een tof product met de Security Fabric en het FortiOS.

Jammer van de bugs en de kwetsbaarheden zo nu en dan....

Powermage @joshbergm • 13 juni 2023 09:16

De hoeveelheid issues met de Forti VPN implementatie is wel schrikbarend hoog, het is al nummer zoveel waar het mis gaat...

Verder vind Ik vind wel het FW update process via de security fabric veel irritanter geworden.
Had voorheen echt nooit zoveel mislukte FW updates of problemen met HA clusters die opeens niet meer consistent zijn als tegenwoordig.

Ben er ergens wel blij om dat zaken verplaatst naar de endpoint, de noodzaak voor fortigates wordt minder en minder bij ons.

Verwijderd @Powermage • 13 juni 2023 11:11

Ik snap niet dat niet meer organisaties overstappen op OPNsense (Nederlands) of andere open-source alternatieven. Goede hardware (veel meer bang for the buck), veel meer ontwikkeling (snelle security updates) en je zit niet aan zo'n nare amerikaan vast.

Vogel666 @Verwijderd • 13 juni 2023 17:17

Omdat er geen groot commercieel belang achter OpenSense zit. Er zijn geen commerciele partners die hun product implementeren op middelgroot of enterprise niveau.
En dan heb ik het nog niet over de stabiliteit van de ontwikkel organisatie. Eerst is er M0n0wall dat abandonware wordt, dan lijkt PFSense de juiste fork te zijn, totdat zij keuzes maken waardoor je toch echt naar OPNSense moet. En iedere keer moet jij her-implementeren en opnieuw debuggen.

Leuk als je één IT-er hebt die 40 medewerkers ondersteunt in een volledig open (intern) netwerk, maar als dat een implementatie over 10 vestigingen hebt, met 10.000 medewerkers en 6 partner IT organisaties, die afhankelijk zijn van die verbinding. Dan worden kosten van downtime dusdanig groot, dat je echt gaat kiezen voor andere oplossingen.

Maar thuis heb ik inderdaad met veel plezier 3 jaar m0n0wall en 5 jaar PFSense gedraaid.

Verwijderd @Vogel666 • 13 juni 2023 19:31

Omdat er geen groot commercieel belang achter OpenSense zit. Er zijn geen commerciele partners die hun product implementeren op middelgroot of enterprise niveau.
Lol, dus ik heb gedroomd toen ik die apparaten plaatste?
Ik snap je mening maar zo verandert er natuurlijk nooit wat. Dat terwijl dit soort firewall's echt wel uitgerold worden in grote omgevingen, ook de omgevingen die jij beschrijft, YouTube staat bijvoorbeeld al vol met video's over PFSense (die zakelijke worden uitgerold). Het datacenter waar ik heb gewerkt stond ook bol van de PFSense installaties, die hebben er schijnbaar minder moeite mee?

Eerst is er M0n0wall dat abandonware wordt, dan lijkt PFSense de juiste fork te zijn, totdat zij keuzes maken waardoor je toch echt naar OPNSense moet. En iedere keer moet jij her-implementeren en opnieuw debuggen.
No offense maar het is niet zo ongewoon dat een leverancier de boel veranderd, dat heb ik al vaak genoeg meegemaakt (zoals Sophos XTM naar XG). De enige firewall waar ik dat niet heb meegemaakt is de Cisco PIX/ASA. Dat was ook een simpele firewall (in de meeste deployments) en daar konden we ook prima mee uit de voeten.

Het verbaast mij altijd dat de programmeer wereld bol staat van de open-source oplossingen maar zodra men over infrastructuur praat, moet men een dure commerciële oplossing goedpraten.

Kan je een praktisch voorbeeld geven waarom die grote organisatie hier niet mee uit de voeten kan?
Zoals je zelf al aangeeft heb je jarenlang PFSense gedraaid, dus stabiliteit zal niet een issue zijn.
En de commerciële support kan je hier zo aanschaffen. Made in the Netherlands, daar zouden we eens wat trots op moeten zijn.

Vogel666 @Verwijderd • 21 juni 2023 17:27

beter laat dan nooit...
Het verschil tussen infra en DevOps is dat een corporate Infra team vaak te maken heeft met honderden closed source producten die ze met een team van 3 of 4 mensen beheren, terwijl een DevOps team vaak maar een handvol producten in de lucht hoeft te houden.
Uiteindelijk gaat het om afkaderen van verantwoordelijkheid. Aangezien je met een paar man onmogelijk indepth knowledge (en dus verantwoordelijkheid) kunt hebben over 500 of 600 producten, wil die verantwoordelijkheid door kunnen knallen naar je leveranciers: "Jij hebt mij een werkende oplossing beloofd, ik betaal voor service: het is stuk, go fix! En als je het niet fixt dan heb ik ook nog een advocaat"

Zackito @Verwijderd • 13 juni 2023 13:00

Vrij simpel, opnsense is geen nextgen firewall. Daarvoor heb je dus weer een 3rd party plugin voor nodig zodat het wel een NGFW wordt.

Zou het zelf nooit inzetten als je afhankelijk bent van verschillende bedrijven, succes met support en dergelijke.

Verwijderd @Zackito • 13 juni 2023 14:56

Het hele 'next gen' verhaal is simpelweg marketing, dat weet je hopelijk wel? Als je het over IDS/IPS hebt, dit is in ieder commercieel product ook een aparte licentie. Voor fortinet heb je 3 bundels:

ATP (Advanced Threat Protection)
UTP (Unified Threat Protection)
ENT (Enterprise Protection)

Persoonlijk vraag ik mij af wat organisaties doen met deze 'features' in een wereld van HTTPS, browsers die deze functionaliteit ingebouwd hebben of platformen die hier veel beter in zijn (Office 365, Google Workspace). Laten we maar niet over de prijsverschillen beginnen

Zou het zelf nooit inzetten als je afhankelijk bent van verschillende bedrijven, succes met support en dergelijke.
Ik denk dat je niet op de hoogte bent van deze oplossingen maar ze hebben gewoon support contracten en 'zakelijke' versies van hun producten. Letterlijk in Nederland in plaats van India aan de lijn. Zie ook de links.

Faifz @Verwijderd • 13 juni 2023 17:31

Het hele 'next gen' verhaal is simpelweg marketing, dat weet je hopelijk wel? Als je het over IDS/IPS hebt, dit is in ieder commercieel product ook een aparte licentie.

Denk dat jij helemaal geen idee hebt. Kun jij OpenVPN tunnels die over 443/TCP blokkeren als je een regel hebt die 443/TCP toelaat? Nee. Die OPNSense of wat dan ook - laat het gewoon toe. Met een next-generation firewall kun je dit wel blokkeren. Oja, je bypassed ook al je firewall regels als iemand een OpenVPN tunnel opzet over 443/TCP wanneer de firewall enkel naar de L4 headers kijkt. Dit omdat je 0.0.0.0/0 (alle traffic) forceert over die 443/TCP VPN tunnel.

Persoonlijk vraag ik mij af wat organisaties doen met deze 'features' in een wereld van HTTPS

Wat moet de wereld van HTTPS voorstellen? HTTPS biedt enkel alleen maar data confidentiality en integrity. Firewalls hebben nooit de functionaliteit van HTTPS proberen te repliceren. Het nadeel aan encryption is dat je firewall geen visibility over HTTPS heeft (ze kunnen wel naar de SNI/certificate kijken om een applicatie te bepalen). Je decrypt dit best met een MITM die CA speelt, zodat de firewall visibility heeft. Dit kan enkel alleen maar met een next-gen firewall. Ga je niet terug zien met je OPNSense.

of platformen die hier veel beter in zijn (Office 365, Google Workspace).

Deze malicious URL "22b64.3renban.com" (niet openen) heb ik kunnen uithalen uit de anti-virus content updates op een PAN firewall. Dit heb ik perfect naar mijn O365 account kunnen mailen via een gmail account.

Laten we maar niet over de prijsverschillen beginnen

Je hebt ook security subscriptions met O365 waar je bijvoorbeeld 10 eur meer betaalt per user per maand. Dus als je 1000 users hebt - ben je gemakkelijk 10000 EUR kwijt. En dan heb je het enkel alleen maar voor O365. De firewall security subscriptions (afhankelijk van model) ligt meestal veel lager als 10000 EUR.

Goede hardware (veel meer bang for the buck), veel meer ontwikkeling (snelle security updates) en je zit niet aan zo'n nare amerikaan vast.

OPNSense heeft geen betere hardware dan next-gen firewalls. Fortinet en PAN gebruiken wel ASICs ipv een reguliere x86 CPU. En nee, de ontwikkeling loopt letterlijk 20 jaar achter. Jij hebt gewoon geen ervaring/kennis met next-generation firewalls.

Verwijderd @Faifz • 14 juni 2023 11:38

Kun jij OpenVPN tunnels die over 443/TCP blokkeren als je een regel hebt die 443/TCP toelaat? Nee. Die OPNSense of wat dan ook - laat het gewoon toe. Met een next-generation firewall kun je dit wel blokkeren
Nee, een 'next-gen' firewall kan dat ook niet . HTTPS verkeer is HTTPS verkeer, de inhoud is niet inzichtelijk, dat is het gehele doel van HTTPS. Ja, je kan wat dingen doen met meta-data en header verkeer maar inzichtelijk is het nog steeds niet. Je doet dus uitspraken op dingen die 'mogelijk in een specfieke usecase' zo zijn en je betaald daar veel geld voor... Dan moet je je echt af gaan vragen of de firewall wel de juiste plaats is om deze dingen uit te voeren. Het daadwerkelijke eindpunt is dan een veel betere keuze.

Je decrypt dit best met een MITM die CA speelt, zodat de firewall visibility heeft.
Het is geen 2010 meer, je kan echt geen MITM meer spelen met vrijwel alle grote websites op internet. Google niet, Microsoft niet, Cloudflare niet, AWS niet. Gebruikers krijgen een dikke foutmelding in hun browser. Er is een reden waarom niemand met proxyservers gebruikt.

Ga je niet terug zien met je OPNSense.
Ik zeg ook niet dat OPNSense feature-comparable is. Ik geef alleen aan dat het het nut van die features dubieus is.

Je hebt ook security subscriptions met O365 waar je bijvoorbeeld 10 euro meer betaalt per user per maand.
10 euro per maand is veel te hoog, dat betalen organisaties echt niet (zeker niet als ze enige omvang hebben). Maar ze betalen nu al wel zeker een abonnement waarbij veel meer zichtbaar is dan op een firewall, je kijkt namelijk vanuit het eindpoint. Ik zie bijvoorbeeld voor video vergaderingen alle data bij elkaar: resource gebruik op de client, netwerk belasting, verbinding latency, ruis, pakketverlies (inbound en outbound) en bitsnelheid. Dit allemaal uitgesplits tussen video, spraak screensharing, deelnemers en gebruikte apparaten. Allemaal zaken die standaard geleverd worden voor een abonnement van 11,50 per maand.

OPNSense heeft geen betere hardware dan next-gen firewalls. Fortinet en PAN gebruiken wel ASICs ipv een reguliere x86 CPU.
Sorry, maar waarom is dat beter? NetApp heeft ook de gehele storage markt (lang geleden) veroverd omdat ze 'reguliere x86 CPUs' zijn gaan gebruiken... Het is ook niet zo dat je dat niets kan 'offloaden'.

En nee, de ontwikkeling loopt letterlijk 20 jaar achter. Jij hebt gewoon geen ervaring/kennis met next-generation firewalls.
We gaan het zien.. Maar ik vind je reactie behoorlijk 'narrow minded'.
Bedenk je maar eerst waarom vrijwel geen enkele cloudprovider (waar vrijwel iedereen naar toe migreert) die hardware aanbied. Verder dan een virtual appliance komen ze niet en voor zover ik kan zien zijn ze niet populair.

Zenix @Verwijderd • 14 juni 2023 14:48

Hier gebruiken duizenden medewerkers een proxy met MITM. Dat gaat meestal goed, natuurlijk sommige sites geven wel problemen, maar de sites die je aangeeft werken prima met een proxy. Als je groot genoeg bent kan je ook contact opnemen met een Microsoft en Google en die zorgen dan wel dat die foutmeldingen niet meer komen als je vanaf een bepaalde source IP-adressen komt.

Daarnaast kan je ook prima inkomend verkeer decrypten voor websites die je zelf host met een proxy. Hiervoor gebruiken wij meerdere reverse proxies, op de eerste staat het client certificaat aan de voorkant, die doet SSL offload, richting een andere reverse proxy, met het server certificaat die vervolgens weer SSL onload doet richting de servers. Tussen de twee proxies in kan een NGFW bijvoorbeeld zijn ding doen op het verkeer dat niet meer encrypted is.

Verwijderd @Zenix • 16 juni 2023 11:58

Hier gebruiken duizenden medewerkers een proxy met MITM. Dat gaat meestal goed, natuurlijk sommige sites geven wel problemen, maar de sites die je aangeeft werken prima met een proxy.
Dat je er 'omheen' kan werken maakt het nog niet een slim of goed idee. Geen idee wat die medewerkers gebruiken maar als het het clouddiensten zijn dan wordt zwaar afgeraden om dit soort oplossingen te gebruiken, zoals bij moderne werkplekken: https://learn.microsoft.c...oints?view=o365-worldwide
You can optimize your network by sending all trusted Microsoft 365 network requests directly through your firewall, bypassing all extra packet level inspection or processing. This reduces latency and your perimeter capacity requirements.
Een optimale netwerk omgeving ziet er heel anders uit in moderne werkplek omgevingen en proxyservers horen daar zeker niet bij. Die dingen waren bedoeld voor vroeger toen we nog dial up hadden en zorgen tegenwoordig alleen maar voor meer complexiteit, site problemen en een inefficiënt ontwerp/eindresultaat. Zo zal de cliënt bijvoorbeeld ernstig beperkt worden in connectie mogelijkheden (zoals bij HTTP mulitplexing).

Daarnaast kan je ook prima inkomend verkeer decrypten voor websites die je zelf host met een proxy. Hiervoor gebruiken wij meerdere reverse proxies.
Dat is inderdaad de nuttige functie maar ook hier zou ik zeker kiezen voor een open-source oplossing. Traefik blaast vrijwel alle commerciële oplossingen uit het water (voor zover ik heb gezien) naast basis opties als NGINX en alle moderne oplossingen zoals K8.

Maar uiteindelijk is het heel simpel: MITM inbouwen is in de basis een security worst practice. Ik snap niet dat iemand dat ooit goed wil praten. Het enige wat je doet is een enorm interessant doelwit voor hackers bouwen in je netwerk.

Zenix @Verwijderd • 16 juni 2023 16:43

Clouddiensten gebruiken we niet. De performance van de proxies is prima, zolang je maar genoeg hardware resources hebt, vooral het scannen van grote downloads kan best veel resources kosten.

Traefik, NGINX, HAProxy zijn leuk, maar niet voor grote bedrijven die ook nog FIPS 140-2 level 2/3 als eis hebben. Dan kom je bij F5 en A10, die hebben ook SSL hardware erin zitten, dat helpt bij een grote hoeveelheid verkeer.

Verwijderd @Zenix • 19 juni 2023 13:13

Clouddiensten gebruiken we niet.
Check je logs.. Iedereen heeft clouddiensten, dat noemen we schaduw IT

vooral het scannen van grote downloads kan best veel resources kosten.
Daarom moet je dit ook op de end-points doen. Dan kun je ook nog actie nemen als blijkt dat je naderhand iets gemist hebt.

Traefik, NGINX, HAProxy zijn leuk, maar niet voor grote bedrijven die ook nog FIPS 140-2 level 2/3 als eis hebben.
Really?. Maar de uitspraak is natuurlijk niet relevant gezien de meeste 'grote bedrijven' die vereiste niet hebben. Grote cloudplatformen en ook on-premise omgevingen met bijvoorbeeld Kubernetes gebruiken geen Fortinet, die gebruiken open-source of eigen gebouwde oplossingen (zoals Azure, AWS, GCP, etc). Open-source werkt gewoon beter met open-source. Ja, het kan misschien wel maar het is hetzelfde waarom je geen VMware ziet in deze grote omgevingen. Het is kostentechnisch gewoon niet te verantwoorden (als in, er is geen businesscase).

Zenix @Verwijderd • 19 juni 2023 15:32

De proxies werken op basis van een allowlist, staat het niet in de lijst, dan is het niet toegestaan. Internet verkeer (ook vanaf servers) is alleen maar toegestaan via een proxy (forward of reverse). Scannen op de endpoints doen we natuurlijk ook, want meerdere lagen van beveiliging.

FIPS compliant op software niveau is wat anders dan hardware niveau, daarom ook de toevoeging van level 2-3. Daarvoor heb je meestal een HSM hardware module. Sommige organisaties moeten daar wel aan voldoen. Bij ons komen de keys niet meer uit de HSM, is die stuk, moeten we alles opnieuw genereren.

Een Azure firewall kan je ook niet vergelijken met OPNSense, die kan wel 100Gbps https://learn.microsoft.c...ewall/choose-firewall-sku De bottleneck in Azure zit nu meer bij de virtual network gateways's die maar 10Gbps kunnen, daar moeten ze nog wat aan doen. Daarnaast heeft de Azure firewall ook enterprise features, die gewoon out of the box werken, waar je niet maanden hoeft te tweaken of de juiste lijsten moet vinden. Want de security iorganisatie achter de grote vendoren, maakt het verschil. En daar beschikken Azure en AWS ook over.

De meeste firewall vendoren gebruiken veel open source, dus dat werkt inderdaad prima. Maar alles goed met elkaar laten werken met een hoge performance (in combinatie met dedicated hardware) en management en security, daar maken ze het verschil.

En waarom zou kubernetes niet achter een Fortigate werken? https://docs.fortinet.com...ivate-cloud-k8s-connector het werkt ook perfect on-premise.

[Reactie gewijzigd door Zenix op 23 juli 2024 17:54]

Verwijderd @Zenix • 19 juni 2023 17:36

Kijk, natuurlijk heb je extreme omgevingen die je helemaal dicht moet spijkeren maar ik wil enkel aangeven dat dit zeer ongewoon is. Als in, waar je over praat is een zeer kleine niche. Normale omgevingen met moderne werkplekken, waar zowaar iedere organisatie momenteel naar toe werkt (gezien dit het enige is wat Microsoft en Google aanbiedt), eisen een lage latency naar hun diensten. Die lage latency krijg je niet door al je verkeer te centraliseren met VPN verbinding en proxy servers maar juist door decentralisatie en local breakouts. Het hele idee van een moderne werkplek is meer simpliciteit en proxyservers zijn dan enkel meer complexiteit, vertraging (latency), onderhoud, kosten (abonnementen) en vrijwel geen ROI (Return on Investment). Er is in de meeste gevallen simpelweg geen businesscase voor te maken.

Ik praat dus over de gebruikelijke omgevingen, daar heb je geen 100Gbps verbindingen nodig. Daarom kunnen de meeste organisaties ook prima uit de voeten met de virtuele firewall die Azure ze voorschotelt (wat vaak ook niet eens meer is dan een linux appliance met IPTables) en zeker met OPNSense.
Maar zelfs al zou je 100Gbps nodig hebben, ben je dan niet verkeerd bezig? We werken tegenwoordig vrijwel allemaal met scale-out, niet scale-up?

En waarom zou kubernetes niet achter een Fortigate werken?
Ik zeg niet dat het niet kan, alleen dat niemand het nodig heeft (of de voorkeur daarvoor heeft). Zoals eerder aangegeven zijn er overal wel appliances voor te koop maar waarom zou je die nog gebruiken als het ingebouwd zit in Kubernetes. Een moderne applicatie omgeving wordt beheerd door een DevOps teams die werken met een heel andere gedachtegang. En als je meer features nodig hebt, dan zijn er tientallen oplossingen die beter integreren in een DevOps workflow (zoals dus Treafik).

Voorbeeld:
Een programmeur rolt een nieuwe service uit via K8 of docker. Die geeft gewoon op dat de service geloadbalanced moet worden, een DNS registratie en een SSL certificaat moet krijgen. Dat doet hij door simpelweg deze vereisten in het deployment bestand op te geven. Geen netwerk engineer voor nodig. Geen Fortinet kennis vereist....En K8 regelt het allemaal op de achtergrond.

Natuurlijk kan dat misschien wel met Fortimail maar waarom? En wie gaat die gehele opzet onderhouden? De tijd van dit soort 'onderhoud intensieve' oplossing is, naar mijn mening (daar hoef je het uiteraard niet mee eens te zijn), wel voorbij?

Faifz @Verwijderd • 15 juni 2023 13:11

Nee, een 'next-gen' firewall kan dat ook niet . HTTPS verkeer is HTTPS verkeer, de inhoud is niet inzichtelijk, dat is het gehele doel van HTTPS. Ja, je kan wat dingen doen met meta-data en header verkeer maar inzichtelijk is het nog steeds niet. Je doet dus uitspraken op dingen die 'mogelijk in een specfieke usecase' zo zijn en je betaald daar veel geld voor... Dan moet je je echt af gaan vragen of de firewall wel de juiste plaats is om deze dingen uit te voeren. Het daadwerkelijke eindpunt is dan een veel betere keuze.

Tuurlijk kan je dit wel met een NGFW. OpenVPN gebruikt geen HTTPS. Een NGFW detecteert dat de applicatie OpenVPN gebruikt wordt en kan dit blokkeren ongeacht de poort en protocol dat er gebruikt wordt.

Het is geen 2010 meer, je kan echt geen MITM meer spelen met vrijwel alle grote websites op internet. Google niet, Microsoft niet, Cloudflare niet, AWS niet. Gebruikers krijgen een dikke foutmelding in hun browser. Er is een reden waarom niemand met proxyservers gebruikt.

Waar heb jij het over? Tuurlijk werkt het wel met Google, Microsoft etc. Voor sommige websites werkt het niet, maar het zijn er niet veel. Jij hebt totaal geen ervaring met TLS decryption of met NGFW's.

Zenix @Verwijderd • 13 juni 2023 20:58

Hoeveel verkeer ging door die OPNSense machines? Laat mij raden, dat was meestal 1-10Gbps. Daarboven krijgt BSD het moeilijk en moet je naar Linux gaan, als Linux het moeilijk krijgt, moet je naar hardware. En dan kom je bij een Fortigate, Juniper SRX, Palo Alto bijvoorbeeld. Tegenwoordig is 100Gbps niet zo spannend meer, maar voor OPNSense wel. En dan heb ik het nog niet gehad over de NGFW features.

Ik heb OPNSense thuis draaien, maar naast kleine bedrijven 10-100 man, zou ik het verder niet overwegen.

Verwijderd @Zenix • 14 juni 2023 11:43

Dat was inderdaad 10Gbps.

als Linux het moeilijk krijgt, moet je naar hardware. En dan kom je bij een Fortigate, Juniper SRX, Palo Alto bijvoorbeeld.
Mwa, ik vind dit een erg ouderwetse gedachte (bedoel ik niet beledigend). Wij schalen horizontaal want bottlenecks zitten nooit meer (voor ons) in de verbinding. Daarnaast bouwt men tegenwoordig toch voor 'de edge' en CDN's dus moet je je afvragen waarom ze zo'n 'dikke' pijp nodig hebt? Ben je met zo'n opzet niet gewoon een probleem aan het oplossen aan de verkeerde kant? Als in symptoom bestrijding in plaats van de bron te fixen?

Zenix @Verwijderd • 14 juni 2023 14:34

Dan zit je niet in zo'n grote omgeving. Mijn werkgever heeft twee complete datacenters die vol staan met honderden servers. We zijn sinds een paar jaar naar 100Gbps gegaan, de volgende stap is 400Gbps. De internet pijpen zijn ook 100Gbps.

Wat ook een punt is, het stroomverbruik. Een Fortigate is zuiniger dan x86 hardware als je gaat kijken naar hogere snelheden. We lopen tegen de limieten aan, dus dat is ook een belangrijk punt.

Firewall management is ook een belangrijk onderdeel. Bij de grote firewall vendoren heb je management tooling waarmee je honderden firewalls kan beheren. En vaak heb je ook meerdere vendoren, dus daarboven heb je vaak ook nog extra tooling om de flow over meerdere firewalls open te zetten. Bijvoorbeeld vanaf on-prem naar een Azure/AWS langs drie verschillende firewall vendoren inclusief de Azure firewall. Dat soort tooling heeft ook geen ondersteuning voor oplossingen als OPNSense. Enterprise software heeft meestal tot op een zeker hoogte integraties beschikbaar om met elkaar samen te werken.

Overigens gebruiken we wel open source software indien het voldoet aan de use cases.

[Reactie gewijzigd door Zenix op 23 juli 2024 17:54]

mduijm

@Verwijderd • 13 juni 2023 21:07

Hebben die ook 600 mensen achter de schermen die elke dag op zoek gaan naar nieuwe issues en vulnerabilities en waar je je op kan abonneren.

Ik denk dat idd je best een vraag kan stellen over de hardware en OS, maar wat Fortinet brengt aan security research is denk ik lastig ergens anders te vinden..

(Disclaimer, ik werk al 9 jaar bij ze

) Maar probeer wel objectief te blijven..

Verwijderd @mduijm • 14 juni 2023 11:56

Hebben die ook 600 mensen achter de schermen die elke dag op zoek gaan naar nieuwe issues en vulnerabilities en waar je je op kan abonneren.
Mwa, het is gebaseerd op FreeBSD 13 wat toch wel beschouwt wordt al een van de veiligste besturingssystemen beschikbaar. Hoeveel mensen daar aan werken is mij niet bekend. Het OPNSense zal vast veel kleiner zijn maar die bouwen ook niet een volledig OS.

maar wat Fortinet brengt aan security research is denk ik lastig ergens anders te vinden..
Ik weet niet precies wat je zoekt maar de open-source community is hier best goed in?

Maar probeer wel objectief te blijven..
Ik probeer hier ook niemand te overtuigen enkel aan te geven dat ze vaak geen eerlijke blik krijgen.
De wereld overspoeld met open-source oplossingen maar een open-source firewall wordt niet eens overwogen. Ik snap het prima dat mensen hier niets aan verdienen dus niet aanbieden maar als je kijkt naar de 'programmeer / cloud' wereld dan zie je het totaal andersom. En dan is het plots geen discussie..
Best grappig..

Flytezero @Powermage • 13 juni 2023 19:25

Dan ben je niet de enigste. Deze update ging goed maar de vorige 3 out of sync met ieder weer een eigen oplossing.

Powermage @Flytezero • 13 juni 2023 23:51

Echt he...
Meest irritante is dan een half geupdate cluster, node 1 wel, node 2 niet...
Uiteindelijk maar maintenance windows ingepland, node 1 reboot, node 2 snel updaten in reboot van de andere en weer door....

Ellende.

helm71 @joshbergm • 13 juni 2023 14:48

Het is maar net hoe je het ziet.. het feit dat ze genoemd worden betekend dat ze gevonden worden en je er op kunt acteren.

Dit kan ook wijzen op heel actief op zoek zijn naar vulnarabilities….

Het gemiddelde wazige systeempje van aliexpres komt nooit langs met meldingen over kwetsbaarheden, maar betekend dat dat het veilig is ?

mduijm

@helm71 • 13 juni 2023 21:10

Idd er is intern erg veel geïnvesteerd in het analyseren van de eigen ontwikkelende applicaties. Ik zit te wachten op een nieuwe VM voor een product, maar moet minimaal 6 maanden wachten om de interne audits af te maken, we staan in een queue

maar prima vind ik..

Bulkzooi @joshbergm • 13 juni 2023 12:14

Dit is inderdaad al het zoveelste SSL-VPN lek binnen Fortinet....
Voor de rest is het een tof product met de Security Fabric en het FortiOS.

Heeft dit niet meer betrekking op het product Flowmon? Da's bedoeld om realtime netwerkverkeer te monitoren en te analyseren.

Normalerwijze gebruik je zulke producten in combo met SIEM en Wireshark en zo.

[Reactie gewijzigd door Bulkzooi op 23 juli 2024 17:54]

CyberTijn @Bulkzooi • 13 juni 2023 14:34

Nee...

ggvanleeuwen @Antenne Bayern • 13 juni 2023 10:17

Wij zijn een tijd geleden ook over naar een ander apparaat. Telkens wat met de ssl-vpn. Er werd ook aangeraden toen om die feature maar helemaal uit te zetten. Misschien nog steeds geen gek idee. Ik vond de interface altijd erg ingewikkeld ook. Nu met een edgerouter zeer tevreden.

itlee @Antenne Bayern • 13 juni 2023 12:56

palo alto heeft geen security problemen natuurlijk...

Dracozirion @Antenne Bayern • 13 juni 2023 19:19

FortiOS Vulns: https://www.cvedetails.co...-06-12&enddate=2023-06-12
PanOS Vulns: https://www.cvedetails.co...-06-12&enddate=2023-06-12

Palo Alto is niet bepaald beter.

Gwindorian 13 juni 2023 10:36

Is er al iets bekend over eventuele mitigatie ?
Het vorige SSL-VPN -lek was te mitigeren door te zorgen dat er geen WAN interface aan de SSL-VPN gekoppeld was. Ik kan hier nu niets over terugvinden.
Patchen moeten we ze allemaal, maar dan weten we wel waar de meeste prio op ligt.

ZinloosGeweldig @Gwindorian • 13 juni 2023 11:13

Een lek in je VPN gateway is een lastige kwestie. Je kan de toegang tot de interface van buitenaf dichtzetten, maar heel het punt van een SSL-VPN is juist om een gateway te bieden waar een afgeschermd stukje netwerk na authenticatie van buitenaf benaderbaar wordt, dus mitigeren betekent gewoon de dienst dichtzetten.

Een eerder lek zat puur in de webinterface die je kan aanzetten op je SSL VPN, toen kon je die webinterface uitzetten en nog steeds met de forticlient verbinden, maar hier lijkt het lek echt in de SSL VPN zelf te zitten.

[Reactie gewijzigd door ZinloosGeweldig op 23 juli 2024 17:54]

db I Delirium @Gwindorian • 13 juni 2023 16:02

Inmiddels is https://www.fortiguard.com/psirt/FG-IR-23-097 aangepast:

Workaround:
Disable SSL-VPN.

Solutions
Please upgrade

Cyberpuppy @db I Delirium • 13 juni 2023 17:55

Maar die update krijg je dus enkel met een lopend supportcontract. Mag dus nu kiezen. Een nieuwe Fortigate kopen (pas 1 jaar oud) of alsnog een contract afsluiten met terugwerkende kracht.

Niks mis met supportcontracten maar ik mag toch verwachten dat ik iets meer dan 6 maanden levensduur van dit soort producten mag verwachten.

mduijm

@Cyberpuppy • 13 juni 2023 21:12

Je koopt toch niet zonder support? Maar heb je al even ingelogd op de je account op support.Fortinet.com en kijk daar eens bij de images?

Cyberpuppy @mduijm • 14 juni 2023 10:03

Daar kun je niks zonder actief contract. Standaard heb je 6 maanden. Daarna heb je pech. Hebben we bij telefoons toch wel iets voor geregeld. Leverancier is verplicht om gedurende een redelijke periode bugfixes en securitypatches te leveren. Ik zou niet weten waarom dit bij andere apparatuur niet ook zo zou kunnen werken.

Zeker kopen soms dingen zonder support. Zo is bijv. de support op een laptop dermate duur dat je beter het geld van die supportcontracten in een potje stopt en af en toe een laptop vervangt indien nodig. Onder de streep voordeliger, maar mensen zijn bang dat ze opeens een issue hebben en dan afhankelijk zijn van support.

In het hele kleine MKB kan een Fortigate een alternatief zijn voor bijv. Zyxel. Maar ja, met contract en al gaat dat dus niet lukken.

ZinloosGeweldig @Cyberpuppy • 14 juni 2023 11:22

Hebben we bij telefoons toch wel iets voor geregeld. Leverancier is verplicht om gedurende een redelijke periode bugfixes en securitypatches te leveren. Ik zou niet weten waarom dit bij andere apparatuur niet ook zo zou kunnen werken.

Dat is dankzij consumentenorganisaties die zich daar voor ingezet hebben. NGFW's worden voor het overgrote deel niet door consumenten ingezet, dus ik zie dat niet snel gebeuren.

ZinloosGeweldig @Cyberpuppy • 13 juni 2023 22:53

maar ik mag toch verwachten dat ik iets meer dan 6 maanden levensduur van dit soort producten mag verwachten.

Nou, als het gaat om hoe lang je security updates op een belangrijk security product ontvangt, zou ik eigenlijk nooit aan "verwachten" doen maar altijd proberen te "weten". Specifiek is het verstandig om dit soort voorwaarden te weten vóórdat je een device aanschaft en die informatie mee te laten wegen in je keuze.

[Reactie gewijzigd door ZinloosGeweldig op 23 juli 2024 17:54]

Cyberpuppy @ZinloosGeweldig • 14 juni 2023 10:09

Nee in die zin doe ik ook niet aan "verwachtingen". Is meer dat ik zou verwachten dat er desnoods wet- en regelgeving is die dit afdwingt. Is bij telefoons ook gebeurd en werkt prima voor de eindgebruiker.

Nu koop ik een device en na letterlijk 6 maanden is het een dure onderzetter geworden. En daar mag ik blijkbaar niks van vinden want ik was even niet bereid om een bizar duur supportcontract af te sluiten. Wat in sommige use-cases best valide is.

En daarnaast in deze tijd van groen en zuinig vindt ik deze manier van e-waste produceren ook een beetje belachelijk worden.

ZinloosGeweldig @Cyberpuppy • 14 juni 2023 11:14

Nu koop ik een device en na letterlijk 6 maanden is het een dure onderzetter geworden. En daar mag ik blijkbaar niks van vinden want ik was even niet bereid om een bizar duur supportcontract af te sluiten. Wat in sommige use-cases best valide is.

Ik kan me niet zo snel zo'n use-case bedenken, maar als die er is, dan is het device in die use-case ook niet na 6 maanden een dure onderzetter geworden.

En ja, je mag er van alles van vinden. En ik mag er ook iets van vinden en er op reageren als je dat op een publiek forum plaatst, zo werkt dat. Daar wordt niemand's vrijheid van meningsuiting mee geschonden.

Er zijn zoveel zaken waarvoor je een combinatie van device en abonnementsdienst nodig hebt om het product te gebruiken. NGFW's zijn nou net het type devices waarbij zoiets in de lijn der verwachting ligt m.i.

[Reactie gewijzigd door ZinloosGeweldig op 23 juli 2024 17:54]

Cyberpuppy @ZinloosGeweldig • 14 juni 2023 15:03

De use-case is vooral in het hele kleine MKB. Wil je toch iets anders hebben dan je standaard Ziggo/KPN modem. In die markt is er verdomd weinig zinnigs te verkrijgen. En dan is Fortigate wel interessant als je dit namelijk ook gebruikt in je meer complexe omgevingen. Is wat prijs betreft nog te verdedigen zolang je niet vastzit aan supportcontracten.

Heb toevallig gisteren nog een meer dan 5 jaar oude Zyxel kunnen bijwerken met een gratis verkrijgbare recente firmware. Dat vind ik dan wel weer heel netjes.

ZinloosGeweldig @Cyberpuppy • 14 juni 2023 15:22

En dan is Fortigate wel interessant als je dit namelijk ook gebruikt in je meer complexe omgevingen. Is wat prijs betreft nog te verdedigen zolang je niet vastzit aan supportcontracten.

Deze gedachtegang kan ik dus echt niet inkomen. Ongeacht wat je van de pricing en de noodzaak van het geheel vindt, is dit namelijk iets waar je van te voren rekening mee kan houden.

Als je de beslissing "Geen support contract afsluiten maar wel dit device kopen" acceptabel vind, dan moet je OFWEL besloten hebben dat de uitkomst "Als na 6 maanden er een belangrijk beveiligingslek bekend wordt, ben ik hier kwetsbaar voor" acceptabel is, OFWEL dat de uitkomst "Als na 6 maanden er een belangrijk beveiligingslek bekend wordt, is het apparaat een dure onderzetter geworden" acceptabel is.

Als geen van die beide scenario's acceptabel is, dan is de keuze voor het device zonder supportcontract kopen niet meer verdedigbaar.

[Reactie gewijzigd door ZinloosGeweldig op 23 juli 2024 17:54]

RGHoeksma96 @Cyberpuppy • 14 juni 2023 12:50

Naar mijn idee zou een device als een fortigate ook gebruikt moeten worden zoals het bedoeld is, als NGFW.
In alle bundels die het extra potentieel hiervan bruikbaar maken tegenover een standaard router/firewall (ATP/UTP/ENT) zit ook gewoon forticare (support) waardoor upgrades gewoon doorgevoerd kunnen worden.
Daarbuiten is er voor de lichtere modellen waarbij je dit mogelijk niet altijd inzet ook de forticare essentials optie welke gekeken naar de pricing van de devices prima te doen zijn.

Daarbuiten kun je als partner ook gewoon de images vrij downloaden.

warzone_agent 13 juni 2023 09:05

Het zijn overigens meerdere kwetsbaarheden, hierbij de lijst uit het artikel:

CVE-2023-27997
CVE-2023-29180
CVE-2023-22640
CVE-2023-29181
CVE-2023-29179
CVE-2023-22641

Bulkzooi @warzone_agent • 13 juni 2023 09:26

Het zijn overigens meerdere kwetsbaarheden, hierbij de lijst uit het artikel:

CVE-2023-27997
CVE-2023-29180
CVE-2023-22640
CVE-2023-29181
CVE-2023-29179
CVE-2023-22641

De zwakte betreft HTTP(s) en SSH; dan kan je altijd meerdere exploits over het lijntje heenjagen. In dit geval zelfs pré-authentication.

Dit lijkt me dan ook gerelateerd aan de gepubliceerde VPN accounts, van mei 2021.

nieuws: Hackers publiceren wachtwoorden voor bijna 500.000 Fortinet-vpn-accounts

[Reactie gewijzigd door Bulkzooi op 23 juli 2024 17:54]

TD-er

13 juni 2023 09:17

Dit is zo ongeveer de meest uitgebreide info die ik hierover heb kunnen vinden tot dusver: https://www.bleepingcompu...sl-vpn-devices-patch-now/

En zelfs dat is nogal algemeen.

"The flaw would allow a hostile agent to interfere via the VPN, even if the MFA is activated," reads an advisory from French cybersecurity firm Olympe Cyberdefense.

"To date, all versions would be affected, we are waiting for the release of the CVE on June 13, 2023 to confirm this information."
[...]

"This is reachable pre-authentication, on every SSL VPN appliance. Patch your Fortigate. Details at a later time. #xortigate."

Bulkzooi @TD-er • 13 juni 2023 09:21

"This is reachable pre-authentication, on every SSL VPN appliance.
#xortigate."

Klinkt als een flatulente uitwaaier van Solarwinds..

Funny hoe ze krampachtig de appliance de schuld geven, aangezien het om een software probleem gaat.

Vandaar Microsoft's nieuwe taxonomy wellicht?

The weather events taxonomy in use by the Microsoft Threat Intelligence.

Ter herinnering:
Het probleem uit 2019 betrof 87.000 FortiGate SSL-VPN-apparaten met 498.908 VPN-inloggegevens. Ook stonden er 97 185 Nederlandse en 337 677 Belgische IP's in.
https://gist.github.com/c...5fa0fc87a3a38d77de0894a92

Fortinet (NASDAQ: FTNT) is nummer 1 op het gebied van security appliances wereldwijd en meer dan 290.000 organisaties in alle delen van de wereld vertrouwen op de oplossingen van Fortinet.

En het supply-chain gedeelte betreft dan de typische netwerk infrastructuur beheerder, met o.a. ISO 9001certs, MCSE'ers, en SLA's en apparatuur van leveranciers als Cisco en Huawei.

En aangezien het informatiebeveiliging betreft is de NEN-norm 7510 ook van belang.

[Reactie gewijzigd door Bulkzooi op 23 juli 2024 17:54]

Connor 13 juni 2023 09:35

Hier de advisory vanuit het Nationaal Cyber Security Centrum:
https://advisories.ncsc.nl/advisory?id=NCSC-2023-0282

InjecTioN

13 juni 2023 12:46

Laat overigens nog even voorop staan dat het niet de IPsec VPN betreft. Dit betreft alleen de SSL-VPN.

Bulkzooi @InjecTioN • 13 juni 2023 12:52

Laat overigens nog even voorop staan dat het niet de IPsec VPN betreft. Dit betreft alleen de SSL-VPN.

Yes, de eindklant zit dus geconfigureerd in een soort zone op het LAN van fortinet, en de SLA is daarbij de hoogste vorm van formalisering aangaande de overdrachten.

Menkoro 13 juni 2023 08:45

Ik dacht even bij deze kop 'Wat een gekke typo, en waarom doen ze bij Epic Games aan vpn-diensten'

ItsmeMaikel @Menkoro • 13 juni 2023 08:48

Je bent niet de enige, denk dat het tijd is voor een extra kop koffie.

MrMonkE @Menkoro • 13 juni 2023 08:49

Denk dat je misschien een tijdje moet stoppen met gaming

tvtomas 13 juni 2023 09:10

Misschien niet relevant, maar heeft iemand een idee hoe je de FortiClient kan stoppen met opstarten bij startup van Windows?

atthias @tvtomas • 13 juni 2023 10:16

gaat dit om de pro en home versies? kijk dan hier https://www.howtogeek.com...rtup-programs-in-windows/

voor server geen idee

Faifz @tvtomas • 15 juni 2023 17:24

Dit kun je ook niet zomaar doen met GlobalProtect van Palo Alto Networks. Het is niet de bedoeling dat users zomaar de client kunnen uitzetten. GlobalProtect en FortiClient zijn veel meer als een gewone VPN client hoor.

telenut 13 juni 2023 09:37

Is hier een update van de client op de pc ook nodig?