Fortinet waarschuwt voor kritieke kwetsbaarheden in FortiOS en FortiProxy

Fortinet waarschuwt zijn klanten voor kritieke fouten in FortiOS en FortiProxy. Kwaadwillenden met toegang tot de captive portal kunnen via de fouten willekeurige code uitvoeren. Het Nederlandse Digital Trust Center waarschuwt dat de kans op misbruik groot is.

Fortinet heeft twee kritieke fouten gevonden in FortiOS en FortiProxy. Het bedrijf heeft beide fouten samen geregistreerd als FG-IR-23-328. CVE-2023-42789 is een out-of-boundsfout, waarmee aanvallers ongeautoriseerde code of commando's kunnen uitvoeren via speciaal gemaakte http-verzoeken. CVE-2023-42790 is een stack-based buffer overflow-fout, die hetzelfde mogelijk maakt.

De bug wordt als ernstig aangemerkt. Hij krijgt een score van 9,3 op een schaal van 10, wat betekent dat hij kritiek is. Het Digital Trust Center schat de kwetsbaarheden als High/High, wat betekent dat zowel de kans op misbruik als de kans op schade groot is.

Het DTC waarschuwt daarnaast voor twee andere fouten, die als minder ernstig worden beoordeeld. CVE-2024-23112 laat geauthenticeerde aanvallers een beveiligingsmaatregel omzeilen. Deze fout is ook van toepassing op FortiOS en FortiProxy, en krijgt een score van 7,2. CVE-2023-46717 is alleen van toepassing op FortiOS als dit geconfigureerd is met FortiAuthenticator in High Availability en is met een score van 6,7 het minst ernstig van de vier. Via deze fout kan een geauthenticeerde aanvaller met leesrechten ook schrijfrechten verkrijgen.

Volgens Fortinet zijn verschillende versies van FortiOS en FortiProxy kwetsbaar. Alle kwetsbaarheden zijn inmiddels gedicht met een patch. Het DTC en Fortinet raden aan om deze zo snel mogelijk te installeren. Is dat niet mogelijk, dan adviseert Fortinet om mitigerende maatregelen te nemen. In FortiSASE 23.3.b zijn de kwetsbaarheden al verholpen. Wie deze gebruikt, hoeft dus geen actie te ondernemen.

Versie	Oplossing
FortiOS 7.4.0 tot 7.4.1	Upgrade naar FortiOS 7.4.2 of hoger
FortiOS 7.2.0 tot 7.2.5	Upgrade naar FortiOS 7.2.6 of hoger
FortiOS 7.0.0 tot 7.0.12	Upgrade naar FortiOS 7.0.13 of hoger
FortiOS 6.4.0 tot 6.4.14	Upgrade naar FortiOS 6.4.15 of hoger
FortiOS 6.2.0 tot 6.2.15	Upgrade naar FortiOS 6.2.16 of hoger
FortiProxy 7.4.0	Upgrade naar FortiProxy 7.4.1 of hoger
FortiProxy 7.2.0 tot 7.2.6	Upgrade naar FortiProxy 7.2.7 of hoger
FortiProxy 7.0.0 tot 7.0.12	Upgrade naar FortiProxy 7.0.13 of hoger
FortiProxy 2.0.0 tot 2.0.13	Upgrade naar FortiProxy 2.0.13 of hoger

IT-banen

Reacties (53)

CriticalHit_NL 14 maart 2024 09:35

Het is wel raak bij Fortinet de laatste tijd.
Of dat nu een goed teken van goed testen is, of een slecht teken van slordig programmeerwerk laat ik even in het midden.

DDX @CriticalHit_NL • 14 maart 2024 09:42

Het is wel raak bij Microsoft kan je ook roepen, die komt iedere maand met tig updates.

locke960 @DDX • 14 maart 2024 09:57

Het verschil is dat Fortinet producten bedoeld zijn om je security situatie te verbeteren. Onder andere door te compenseren voor het feit dat Windows zoveel security bugs kent.

Als een dergelijk product vanwege teveel problemen zelf een liability wordt in plaats van een asset dan is dat wel een dingetje. Als dit te vaak gebeurd in vergelijking met de competitie, dan gaat dit gevolgen hebben voor hun omzet.
Dat speelt bij Windows nauwelijks, daar is de marktdynamiek is heel anders.

InjecTioN

@locke960 • 14 maart 2024 12:02

Ik vind dit een nogal vreemd verhaal. Security vulnerabilities worden (meestal) niet intentioneel ontwikkeld. De scope is echter vaak te klein om te kunnen bepalen of het op een later moment een veiligheidsrisico oplevert. Het is meestal ook niet een enkele exploit die een hack mogelijk maakt, maar een aaneensluiting van exploits. Laten we dit het "Right-Place-Right-Time" concept noemen.

Fortinet
In dit geval, is er een hoop mis aan een SSLVPN van Fortinet. Er worden keer op keer security vulnerabilities gevonden in de software (en/of software packages) die daarvan afhankelijk, of andersom (het portal), is/zijn. Dat betekent niet zo zeer dat het zo lek als een mandje is, maar eerder dat er lekken gevonden worden. Zij zijn daarbij ook afhankelijk van een boel packages die op hun (virtuele) hardware draait. Het blijven tenslotte gewoon computers (met een fork van BSD uit mijn hoofd). Een niet eerder ontdekt lek in een van de vele packages, zorgt er al snel voor dat Fortinet vlot met een patch moet komen, wanneer de ventilator vol zit met onwenselijkheden. Daar zijn ze gelukkig aardig competent in.

Veilig?
Wanneer ik een stuk software schrijf, en slechts een paar relatief onbekwame personen er vluchtig doorheen laat klikken als security test, dan wilt het niet zeggen dat het ineens veilig is. Zelfs met een zeer bekwaam team van 100 man en vaste procedures, zal er in software alsnog een lijst aan niet ontdekte lekken zitten. Het is simpelweg nog niet ontdekt. Niets meer, en vooral ook niet minder.

Verkijk je dus vooral niet op hoe iets wel of niet veilig is, en baseer je veiligheidsgevoel niet op hoeveel patches er nodig zijn, maar eerder op dàt het gepatcht wordt, welke frequentie en of een fix een solide fix is.

And remember kids: Een device (Fortinet, of niet) als extra beveiligingslaag toevoegen is namelijk altijd veiliger dan geen extra beveiligingslaag. Zolang je de juiste vorm van isolatie gebruikt!

[Reactie gewijzigd door InjecTioN op 23 juli 2024 18:12]

3raser @DDX • 14 maart 2024 11:56

Updates (zelfs beveiligingsupdates) zijn gebruikelijk. Waarschuwen voor een kritiek lek is dat niet.

C6DL @CriticalHit_NL • 14 maart 2024 09:39

Hoe meer er getest wordt, hoe meer kwetsbaarheden worden gevonden.
Kan juist ook iets zeggen over hoe kort Foritnet op de bal zit t.o.v andere vendoren.
Ik meen zelfs te herinneren dat Forti het grootste "testteam" heeft

kodak @C6DL • 14 maart 2024 10:44

Gewoonlijk doe je dat testen van je product met eigen software voor levering aan klanten. Dit zou dan testen na levering zijn. Natuurlijk fijn dat ze het doen, maar ik lees geen enkele verklaring waarom ze het dan niet eerder ontdekt hebben of konden ontdekken voor het leveren.

Zelfs al zou het antwoord tijd zijn dan wil dat dus zeggen dat het bedrijf risico neemt, waarvan onduidelijk is hoe dat risico acceptabel is (of was) zonder dat aan klanten uit te leggen. Dit zijn geen producten die voor het vermaal worden aangeschaft en gebruikt maar juist veiligheid zouden bieden.

joost00719 @kodak • 14 maart 2024 11:11

Of ze blijven gewoon doortesten nadat ze het product hebben geleverd. Kan zijn dat er nieuwe ontwikkelingen in de security industrie ontstaan, die ze kunnen uitproberen op de bestaande oplossingen.

kodak @joost00719 • 14 maart 2024 13:18

Er zijn alleen niet zomaar nieuwe ontwikkelingen bij deze security bugs. Het komt juist vaak door dezelfde soort fouten maken. En aangezien het bedrijf ook niet aan toont dat het door onverwachte of nieuwe ontwikkelingen komt, terwijl dit zeer ernstig security bugs zijn en de producten om bescherming verkocht worden en kopers vaak aantoonbaar controle horen te hebben, is het eerder redelijk om te stellen dat men niet genoeg heeft gedaan tenzij men het bewijst.

Ik ben het er volledig mee eens dat het ook achteraf testen waardevol is. Maar zolang het bedrijf op geen enkele manier toont dat het redelijk is dat deze ernstige security bugs niet eerder ontdekt zijn lijkt me hopen en vertrouwen dat men genoeg had gedaan niet redelijk. Anders zijn we namelijk meer bezig met hopen dat de producten veilig zijn voor het doel, in plaats van te zorgen voor voldoende aantoonbare zekerheid.

[Reactie gewijzigd door kodak op 23 juli 2024 18:12]

Grimm @CriticalHit_NL • 14 maart 2024 09:50

Ik zal wel ouderwets zijn maar "goed testen" doe je volgens mij voor de release, niet daarna.
Maar tegenwoordig is het blijkbaar acceptabel dat software altijd fouten bevat.
Het zij zo.

cricque @Grimm • 14 maart 2024 11:45

Good luck ... Misschien zelf een proberen software te maken ? Er zal altijd wel iets zijn dat een bug bevat en hoe groter de software hoe groter het aantal kansen is. Tevens maakt zogoed als iedereen gebruikt van bepaalde libraries, als die libraries een bug bevatten dan moet jij ook updaten.

Het is niet allemaal zo simpel als jij het doet uitschijnen hoor. En nee het is niet "acceptabel", maar realistich gezien zal er altijd wel ergens een fout inzitten. En je mag testen zoveel je wilt, er zal altijd wel iemand iets vinden op de meeste gekke manier ook om het toch maar te kunnen misbruiken. Fortinet is ook een doelwit op zich, aangezien iemand thuis dit al niet zal hebben. Als je een bug vind ik Notepad bijvoorbeeld, leuk voor jou, maar vind eentje in Fortinet ... die kan je gemakklijk verkopen hoor en brengt grof geld op. Want als jij maar een bedrijf kan vinden waar ze het hebben en dat wat de moeite is, dan kan iemand met slechte bedoelingen daar wel eens de boel overnemen en "een beetje" geld vragen. Dus het is ook veel interessanter voor mensen om bugs te zoeken die zeker in zo een dingen voorkomen dan in Notepad. Uiteraard heeft niet iedereen slechte bedoelingen. Maar soms denk ik ... hoe komt er iemand op om dit ook maar op zo een manier te proberen. Als je soms bekijkt welke handelingen nodig zijn voor bepaalde dingen vraag ik mij toch af hoe die hun brein denkt. Ik stond zeker niet achteraan de rij en ben zelf programmeur en mijn denkwijze is ook niet altijd "koosjer", maar je moet maar eens zo bug exploits bekijken en hoe je dit zou kunnen uitvoeren. Dan sta ik daar soms ook met mijn mond vol tanden om het zo te zeggen.

Dan mag jij nog alles doen wat je moet doen audits, tests, reviews etc, alles volgens het boekje. Er zal altijd wel iemand iets vinden waar jouw team niet aan gedacht heeft. En dan is het dit zo snel mogelijk detecteren en oplossen.

Het enige wat je kan doen is jezelf zo weinig mogelijk interessant maken voor andere partijen. Maar dat is iets wat Fortinet totaal niet kan. Je moet maar eens kijken bij websites hoeveel tests er daar dagelijks niet gebeuren voor wordpress crap en tests of het magento/joomla en consoorten is. Zelfs bij oninteressante doelwitten. Als iemand jouw site kan overnemen en eventuele malware zo verspreiden of email gegevens kan bevatten kan dit weer geld opbrengen.

Als iemand jou wilt hacken, dan zal je gehacked worden, zo simpel is het. Je kan het alleen maar zo moeilijk mogenlijk maken. Maar fortinet dus is wel interessant, want je vind een exploit die werkt et voila je kan zo controle krijgen over alle fortinet installaties en eventueel van daaruit verder gaan. Daarom zal je dus ook sneller Fortinet in het nieuws zien verschijnen dan bijvoorbeld ... er is een bug gevonden in Notepad.

Gezelli @cricque • 14 maart 2024 12:08

Daar ben ik het niet helemaal mee eens...
Hoe groot deze projecten voor Fortinet ook zijn dit is hun product, wat ze doen wat ze verkopen.

Het is een aanname maar juist uit die veiligheid zullen ze niet snel gebruik maken van 3e libaries,
maar ik maak inderdaad zelf ook geen software, wordt ik ook niet voor betaald..

De opmerking maak zelf eens software maken vindt ik vreemd, wat zou je doen bij een autogarage
als de moneur zegt maak zelf je auto eens?

Fortinet kost heel veel geld, wij hebben het op 7 vestigingen wereld wijd draaien plus in 2 datacenters en overal redundant en de apperatuur, licensies en carepacks kosten een vermogen.

Daarom vindt ik dat er aan het testen voor de release wel iets meer aandacht aan besteed mag worden.
het kost bedrijven veel te veel geld om het zogenaamd piep systeem te hanteren en zeker wat betreft de gevolgen wat het dan voor een bedrijf al kan hebben.

Ik vindt alleen de laatste opmerking " Het zij zo" jammer, dit kan en mag niet worden geacepteerd als er zoveel geld en beveiliging in omgaat..
Ik ben ook ouderwets en vindt dit echt niet acceptabel..

[Reactie gewijzigd door Gezelli op 23 juli 2024 18:12]

cricque @Gezelli • 14 maart 2024 21:37

Velen snappen echt niet hoe complex software soms is, en hoe mensen dingen proberen die iemand met een normaal brein nooit zou opkomen. Dat het jouw job niet is kan ik goed aannemen, maar kijk gewoon eens naar wat je allemaal moet doen voor sommige bugs te kunnen exploiten. Wie bedenkt er nu in godsnaam zoiets ? Sorry maar sommige dingen zijn onmogelijk om te testen. En buiten in hello world zijn er altijd wel bugs in elk programma

Dat dit nu net met security te maken heeft, tsja dat is spijtig. En dat het veel geld kost dat weet ik ook wel.
Alle standaarden etc volgen en testen is al een huzarenstukje, maar zeker mogelijk. Maar wat sommige mensen bedenken om te proberen ... nee dat neemt geen enkel bedrijf mee, want ze hebben zo niemand in dienst of vinden gewoonweg niemand die dit ook maar zou kunnen.

En als bedrijf geld uitdelen voor exploits te vinden is een manier om bepaalde dingen te vinden. En dat is goed, maar in het criminele circuit kan je daar dus een veelvoud voor krijgen. Niet iedereen heeft slechte bedoelingen uiteraard.

Gezelli @cricque • 20 maart 2024 14:03

Ik ben bang dat we het niet helemaal eens gaan worden

Ik vindt dit moeilijk te verkopen of te accepteren dat ze 1 van de beste op de markt zijn, er een kapitaal voor vragen (elk zoveel periode weer) en dat we dan bug of exploits maar moeten accepteren.

Je betaalt ze voor die taak, anders kun je beter een tp link kopen die ook soms last van bugs of exploits heeft, maar je houd dan wel geld over voor een auto of vakantie? en als je bij een tp-link een bug tegen komt dan is het acceptabel als je daar 25 euro voor hebt betaald. (bijvoorbeeld, geen idee wat tp-link kost)

Zoals ik het voel koop je een Ferrari die maar 60 km per uur loopt en daar 15 seconden over doet, wederom een monteur zegt, ja sorry bugje, kunnen we niets aan doen..

Ik snap dat het complex is maar dat is juist hun werk, taak, specialisatie en wat ze beloven om te regelen daarom koop je hun diensten en producten.

cricque @Gezelli • 20 maart 2024 14:16

Kijk je maakt software en je maakt een funcitie om een knop in te drukken. Nu gaat er iemand die knop eerst een ander kleurtje geven, dan gaat hij die knop omdraaien, dan een ander label geven, dan terug een kleurtje geven, een symbool bijzetten en dat zorgt dus voor een fout. Dit is nu een beetje simpel voorgesteld. Maar hoe in godsnaam moet ik hieraan denken ?

Ik snap best dat iedereen dit verwacht, maar sommige hacks vraag ik mij toch af, hoe kom je in godsnaam daarop van eerst x, dan y, en zo 2-3x het alfbet af te lopen van handelingen om een fout te krijgen. Daar is geen enkele programmeur die daar aan denkt.

Ken zelf een paar goeie testers (allesinds in mijn ogen) maar die mensen gaan ook zo een dingen niet bedenken hoor. Alle software moet getest zijn punt, en dat heeft niks te maken met de prijs die je ervoor moet betalen. En of je nu 25 euro of 25k euro betaald bugs zouden niet mogen voorvallen, maar realiteit is helemaal anders.

Ik heb een tijdje gewerkt voor 1 van de grootste paymentproviders in de wereld. Die hebben een heel security en fraude team zitten. Maar er is geen enkel in dat team dat zo van die "overingewikkelde" hacks kan bedenken hoor. En via AI ... zie ik ook niet zo snel gebeuren. Je moet al echt een "fucked up" brein hebben om het zo te zeggen, om van sommige van die exploits zelfs maar te proberen. Maar je zal toch moeten accepteren dat er bugs kunnen voorvallen. Je moet gewoon hopen dat het snel gezien zal worden en dan vlug een patch.

De enige manier om eraan te ontsnappen is geen verbinding met internet maken. Doe je dat wel tsja dan zal je toch de risico's erbij moeten nemen.

Maar waar komen de meeste hacks vandaan ? De gebruikers ... Die klikken maar op alles en doen maar alles open etc. En als ik een gebruikers account kan weten te bemachtigen, ben ik al zogoed als binnen. Dat is nog altijd gemakkelijker dan een exploit zoeken.

satya @cricque • 14 maart 2024 19:37

Het probleem met Fortinet is ook veel ruis op de beurs en een daarbij horende groei verwachting, dat maakt dat veel soms nieuwe producten half af op de markt komen.

Ik kom echt uit een tijd dat zowel de hard als software nog af waren als het in gebruik genomen werd, ik denk dan aan dec-uvax, Stratus-vos en Digital Unix alpha systemen. Updates waren toen iets bijzonders en fouten een zeldzaamheid.

Onder druk van de markt is alles vloeibaar geworden en is de consument een onderdeel van het testen in de praktijk geworden, zelfs beloofde features zijn soms niet eens aanwezig, maar komen maanden nadat een item is uitgebracht.

1Mark @CriticalHit_NL • 14 maart 2024 09:44

Of het proces werkt gewoon.
Windows heeft ook vaak kritische updates

bzzzt @1Mark • 14 maart 2024 09:56

Dat het proces werkt is minimale effort, met minder kan je een product niet serieus nemen.

Er zijn heel veel dingen die softwarebouwers kunnen doen tegen dit soort issues: security awareness prioriteit geven, regelmatig reviews, audits en pentests, fuzz testing, goed beheer van gebruikte software afhankelijkheden en proactief updaten naar nieuwe technieken. De vraag is of dat allemaal gedaan is en de bugs er ondanks alle voorzorg zijn ingeslopen of dat ze dit hele proces niet goed in de hand hebben.

Frame164 @CriticalHit_NL • 14 maart 2024 10:21

Die goedkope dingen die je bij Action koopt zijn veel beter. Die komen nooit in het nieuws met specifieke vulnerabilities....Of zal dat komen omdat niemand daar naar kijkt?

D0phoofd @Frame164 • 14 maart 2024 10:51

Forti profileert zich als dusdanig als 'security' product dat je daar ook wat van mag verwachten.
Wanneer je 'Action' koopt is het onredelijk als je A-kwaliteit verwacht van het product.

Je stelling klopt wel m.b.t. de aantallen en gebruik (onderzoekers). Maar niet dat van de Action. Alhowel, Fortigate zich dusdanig prijst dat het wel een 'Action' prijs is... Dus Fortigate is Action kwaliteit?

jvr @Frame164 • 14 maart 2024 15:38

Ik snapte je grap wel, sommige zijn iets te serieus hier of willen zich te erg profileren............

daanb14 @CriticalHit_NL • 14 maart 2024 10:22

Dat ligt genuanceerd. Bijvoorbeeld de kritieke kwetsbaarheid van deze maand is intern bij Fortinet gevonden: https://www.fortiguard.com/psirt/FG-IR-23-328 Dat is gelukkig best vaak het geval en ook een teken dat zij weldegelijk zelf ook hun code auditen en daar transparant over zijn.

D0phoofd @CriticalHit_NL • 14 maart 2024 10:39

De laatste tijd? Ik denk dat je altijd bedoelt.
Ik vraag me ten zeerste af hoe lek die doosjes echt zijn. Vrijwel iedere maand een fikse CVE op de software. Worden deze gemeld vanuit extern? Wat wordt er niet gemeld? Zorgen de fixes mogelijk voor nieuwe CVE's?

Als je een redelijke vloot Forti's in beheer hebt heb je een voltijd baan alleen aan het uitpluizen en updaten. Wat mij betreft onacceptabel voor een firma die zich profileert als security-partner.

metalmania_666

@CriticalHit_NL • 14 maart 2024 11:24

Ik meen mij te herinneren dat er gemiddeld per 1000 regels code 3 fouten zijn. Misschien is dit al verbeterd naar 1 fout per 1000 regels code, dan nog zitten er veel fouten in software.
Nieuwe updates kunnen ook weer fouten bevatten.

Fortinet blijft gewoon doortesten om zo snel mogelijk veel fouten op te sporen

[Yellow] @CriticalHit_NL • 14 maart 2024 12:43

Nou...niet alleen de laatste tijd hoor.
Onbegrijpelijk hoeveel CVE's er uitkomen voor deze producten.
En als het nu goedkope consumentenproducten zouden zijn, maar deze zijn juist bedoeld voor de mega grote bedrijfsnetwerken.

xSNAKEX @CriticalHit_NL • 14 maart 2024 13:42

Het is maar hoe je het ziet. De updates waarin de problemen verholpen zijn dateren al uit Oktober van vorig jaar. Die updates zouden dus eigenlijk wel al lang geïnstalleerd moeten zijn. Dat ze dit nog onderzoeken en vermelden voor oudere versies is eigenlijk alleen maar goed wat dat betreft.

Tozz @CriticalHit_NL • 14 maart 2024 14:59

Ik werk dagelijks met Fortinet producten en naar mijn idee focussen ze teveel op ontwikkeling en te weinig op kwaliteit. Naast de security bugs zoals deze zitten er ook heel veel gewoon ronduit slordige software bugs in hun producten.

De balans tussen vooruitstrevendheid en productkwaliteit is bij Fortinet een beetje zoek aan het raken vind ik.

Metalfreak @Tozz • 15 maart 2024 11:52

Die ervaring hebben wij helaas ook. En met elke oplossing voor een bestaande bug lijk je er wel drie nieuwe voor terug te krijgen. Daardoor kun je soms niet updaten, maar je moet wel vanwege security issues. Die continue spagaat is ontzettend vermoeiend.

Tozz @Metalfreak • 15 maart 2024 19:32

Eens. Dat is ook een groot gebrek bij Fortinet. Als er inderdaad een security release uit komt dan is dat in feite een afgeraffelde nieuwe release met zoals je al zegt heel veel bugs.

Wat ze eigenlijk zouden moeten doen is bv. versie 7.0.13-security1 uitbrengen waarbij dan alleen die CVE's gefixt zijn.

meowmofo 14 maart 2024 09:25

Dit lijkt me niet te kloppen:

"FortiOS 7.2.9 tot 7.2.5 Upgrade naar FortiOS 7.2.6 of hoger"

Vreemd ook, want voor de vorige critical moesten we naar 7.2.7 upgraden....

royvs98 @meowmofo • 14 maart 2024 09:37

Is waarschijnlijk een typefoutje. Op de website van Fortinet staat namelijk "FortiOS version 7.2.0 through 7.2.5".

Vestedmarius @meowmofo • 14 maart 2024 09:40

Dit had

FortiOS 7.2 7.2.0 through 7.2.6 Upgrade to 7.2.7 or above

moeten zijn. https://www.fortiguard.com/psirt/FG-IR-24-013

DDX @meowmofo • 14 maart 2024 09:38

7.2.9 is een typo, op bron hebben ze het over 7.2.0 through 7.2.5
Maar idd wel gek dat advies is om te upgraden naar 7.2.6 of hoger, critical van vorige maand was advies 7.2.7...

meowmofo @DDX • 14 maart 2024 10:31

Vraag me dan toch echt af of ze het per ongeluk in 7.2.7 hebben gefixt, of dat ze er blijkbaar al eerder vanaf wisten, gefixt hebben maar het niet gecommuniceerd hebben?

DDX @meowmofo • 14 maart 2024 11:34

Als je mitre.org link volgt :
https://cve.mitre.org/cgi...e.cgi?name=CVE-2023-42789

Zou je dus zeggen dat bug dus al in 2023 bekend was.
Maar als je die leest '7.2.0 through 7.2.6' oftewel ook weer 7.2.7 wat de fix zou moeten zijn.

JackJack @meowmofo • 14 maart 2024 09:39

Ik denk een typo. Wss wordt 7.2.0 bedoeld?

xceqte @meowmofo • 14 maart 2024 09:44

Er zit een fout in het artikel, moet zijn: "FortiOS version 7.2.0 through 7.2.5".

Auteur

EvelineM @meowmofo • 14 maart 2024 09:44

Een tikfoutje! Ik pas het even aan. Dank voor het melden.

Rhannie 14 maart 2024 11:14

De timing van dit nieuwsbericht is wel apart. Dit gaat over CVE's van lekken die oktober vorig jaar (en in het geval van de SSLVPN CVE begin januari dit jaar) al gedicht zijn door Fortinet. Waarom komt hier nu een nieuwsbericht over?

DDX @Rhannie • 14 maart 2024 11:37

Omdat fortinet ze schijnbaar deze week pas published heeft als fix ?

https://fortiguard.fortinet.com/psirt/FG-IR-23-328
'Date Mar 12, 2024'

Als staat er bij timeline ook :
'2024-02-27: Initial publication'

Maar idd de cve lijkt origineel uit 2023 te komen.

Rhannie @DDX • 14 maart 2024 12:00

Nee, deze fixes waren al lang bekend. De CVEs zijn ook september vorig jaar geregistreerd. Alleen de security bulletins op de Fortinet site zelf zijn zeer recent geupdate. In de tabel onder het nieuwsartikel zie je bijvoorbeeld ook "FortiOS 7.0.0 tot 7.0.12" staan. Versie 7.0.13 is uitgekomen in oktober vorig jaar en is ook niet de recentste versie meer van de 7.0 branch.

DDX @Rhannie • 14 maart 2024 12:50

Alleen waarom staat er dan initial publication 2 weken geleden ?

FastFred 14 maart 2024 09:43

FortiOS 7.4.0 tot 7.4.1 Upgrade naar FortiOS 7.4.2 of hoger

Euh, in 7.4.2 zat ook de vorige kwetsbaarheid in de SSL VPN functionaliteit. Zit je op 7.4 dan moet je dus naar 7.4.3 als je ook SSL VPN gebruikt, niet naar 7.4.2, want die is ook lek.

The Ghost @FastFred • 14 maart 2024 13:45

Het leek mij ook al een oud artikel
Recent is er ook een artikel geweest over lekke SSL VPN en daarin werd aangegeven naar 7.4.3 minimaal vereist was voor het patchen.
Ik draai zelf nu ook met 7.4.3

Beaves 14 maart 2024 10:00

Wij gebruiken Fortigates sinds jaren en jaren, tot volle tevredenheid, tot FortiOS 6.2, met die versie is eigenlijk de ellende begonnen. Nog steeds maakt Fortigate mooie apparatuur, en is de functionaliteit super, maar qua software en vooral SSL-VPN is het echt een drama. Ik snap niet dat een van de grootste Firewall producenten al jaren hun software-ontwikkeling niet op orde krijgt...

Ze hebben nota bene vorig jaar via een interne audit hun SSL programmatuur helemaal nagelopen en nu nog steeds komen er desondanks nog steeds veel bugs voorbij.

Pinkys Brain @Beaves • 14 maart 2024 11:18

Niemand will "alles overnieuw in Rust" horen, dus pappen en nathouden.

Lisadr 14 maart 2024 09:51

Fortinet waarschuwt heel vaak voor kritieke kwetsbaarheden. Lijkt wel een structureel probleem.

TonnyTonny @Lisadr • 14 maart 2024 10:12

Of ze zijn gewoon meer openhartig dan anderen....

Als ik zie wat Cisco/Aruba/Nortel/Juniper NIET melden in hun publieke security bulletins, maar soms wel melden aan hele grote klanten (of wat tussen de regels door te distilleren valt uit release notes).
Of wat een support engineer (al dan niet per ongeluk/express) zegt als ze iets aan het troubleshooten zijn...

Persoonlijk heb ik liever een leverancier die open is over mogelijke issues en ze fixed, dan een leverancier die zijn lippen stijf op elkaar houd en schimmig doet over waar ze nou weer een pleister op geplakt hebben.

satya @TonnyTonny • 14 maart 2024 19:28

Als je vulndb gebruikt en bv Cisco staat in je selectie zie je die ook vaak genoeg voorbij komen.

Frame164 @Lisadr • 14 maart 2024 10:22

Voor het soort producten wat zij maken lijkt me dat eerlijk gezegd essentieel.

Pinkys Brain 14 maart 2024 09:53

De hoeveelheid geheugenstoegang fouten in VPNs en proxies is beschamend.

Regeringen zouden al jaren terug certificaties moeten opzetten voor dit soort toepassingen. Rust was nog geen optie maar MISRA/CERT/JSF-C(++) wel en overduidelijk noodzakelijk. Dit is de eerste lijn van verdediging, die kan je niet met gewoon knullig C/C++ programmeren in elkaar laten knutselen.

Er zijn natuurlijk nog veel andere logische fouten, serialisatie, race condities, input validatie met broken-by-design troep zoals SQL/shell/SOAP/XML/etc ... maar geheugentoegang fouten zouden niet zoveel voor mogen komen.

Frame164 @Pinkys Brain • 14 maart 2024 10:22

En als overheden dan met richtlijnen komen wordt het hier weer belachelijk gemaakt. "Ga boeven vangen" en dergelijke lees je dan... Wij als ICT-ers moeten het gewoon beter gaan doen.

jvr 14 maart 2024 15:41

Ik vind het het erg verwarrend de berichtgevingen van Fortinet....
Stel ik heb Fortiweb of Fortimanager.... die bevatten ook het O/S, maar geen SSLVPN. Is deze dan wel/niet kwetsbaar?!

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (53)

Sorteer op:

Weergave: