FortiManager heeft mogelijk kritieke kwetsbaarheid, bedrijf zegt niets - update

FortiManager en FortiCloud hebben mogelijk een actief misbruikte kritieke kwetsbaarheid waardoor remote code execution mogelijk is. Het cybersecuritybedrijf Fortinet heeft de kwetsbaarheden vooralsnog niet erkend. Sommige getroffenen zouden een mail gekregen hebben.

Op verschillende socialemediaplatforms, waaronder Reddit, worden berichten gedeeld over een actief misbruikte zeroday. Deze zou FortiManager-versies vanaf 7.6.0, 7.4.4, 7.2.7, 7.0.12 en 6.4.14 en ouder treffen. Sommige gebruikers zeggen dat zij via een e-mail hierover ingelicht zijn en worden aangespoord om de nieuwste update voor hun respectievelijke FortiManager-versie te installeren, zo detailleert Ars Technica. Anderen die in theorie getroffen zouden moeten zijn, zeggen juist geen e-mail ontvangen te hebben. Vooralsnog heeft Fortinet publiekelijk niets over de eventuele kwetsbaarheid gezegd. Tweakers heeft vragen uitstaan bij het cybersecuritybedrijf.

Volgens beveiligingsonderzoeker Kevin Beaumont en Ars Technica gaat het om een kwetsbaarheid waarbij 'apparaten met een onbekend of niet-geautoriseerd serienummer zichzelf kunnen registreren in een bestaand FortiManager-dashboard'. Hoe dat precies werkt, is niet duidelijk.

Sinds de ontdekking van de kwetsbaarheid, wat naar verluidt ergens op 13 oktober was, zou Fortinet een update hebben uitgebracht voor veel van zijn FortiManager-versies. Voor zover bekend staat er geen informatie over het oplossen van een beveiligingslek in de patchnotes. Ook is niet duidelijk waar eventueel getroffen gebruikers op moeten letten en of daadwerkelijk iedereen een e-mail heeft gekregen.

Update, 17.55 uur: Tweakers heeft van een bron uit de cyberbeveiliging vernomen dat de kwetsbaarheid al langer actief misbruikt wordt. De bron bevestigt eerdere berichten van gebruikers op sociale media dat Fortinet de informatie onder het Traffic Light Protocol Amber+Strict met getroffenen heeft gedeeld. Dit betekent dat de inhoud van deze gevoelige informatie niet buiten een organisatie gedeeld mag worden.

Reacties (33)

hanneman 23 oktober 2024 14:30

Je kunt deze en vergelijkbare kwetsbaarheden voorkomen door een local-in policy (of firewall whitelist) in te stellen voor inkomende verbindingen op TCP poort 541 (als je deze poort niet volledig kunt afsluiten, bijvoorbeeld in het geval van MSP's).

Zet hier alleen de IP-adressen van de FortiGate's in die met je FortiManager verbinden.

For all FortiManager versions, mitigations are possible by adding local-in policies to whitelist the IP addresses of FortiGates that are allowed to connect (the same can be achieved with an external firewall).

To configure a firewall policy to whitelist connections from a known set of subnets e.g. 172.30.12.0/24 (the management network), and the specific IP 10.109.16.99 (FortiGate Device) set the following policy:

Example:
config system local-in-policy
edit 1
set action accept
set src 172.30.12.0/24
set dport 443
next
edit 2
set action accept
set src 172.30.12.0/24
set dport 22
next
edit 3
set action accept
set src 10.109.16.99/32
set dport 541 <------- Only allow TCP/541 from known FortiGate IP
next
edit 4
next
end

Note: It is important to note that policy 4 in the example has all settings at 'default', which makes it an explicit drop to deny access from all other IP addresses.

Triblade_8472 @hanneman • 23 oktober 2024 22:48

Ligt het aan mij of zijn alle comments hieronder verwijderd?

Komt dat omdat het info over "Amber" bevat? Zo ja, Tweakers schrijft er toch ook over en de post hierboven ook?

Zo Nee, dan zal ik het wel verkeerd gezien hebben. Het komt mij als vrij uitzonderlijk over iig. Ik had minimaal commentaar vanuit Tweakers verwacht.

Het is belangrijke informatie die gewoon gedeeld moet worden onder mensen die slachtoffer kunnen worden! Security through obscurity is geen goed beveiligingsmodel.

Nadat de info toch breed publiekelijk is geworden is blijkbaar (zie hieronder) eindelijk een CVE over uitgebracht.

JWG1975 @Triblade_8472 • 23 oktober 2024 23:03

Er werden specifieke elementen letterlijk gequote uit een Traffic Light Protocol Amber+Strict bericht. Tweakers schrijft erover dmv een bronvermelding die alleen aangeeft dat er een Amber+Strict bericht was, zonder de inhoud ervan te delen.

Dus je aanname dat de comments hierover daardoor zijn verwijderd, zal wel kloppen.

En eerst een Amber+strict vermelding en later een CVE is zeker bij actief misbruik een normale manier van informatie beschikbaar stellen.

joosttissen 23 oktober 2024 17:33

Inmiddels is er ook een CVE:

https://www.fortiguard.com/psirt/FG-IR-24-423
https://www.cve.org/CVERecord?id=CVE-2024-47575

IrBaboon79 23 oktober 2024 14:40

Grappig - sinds een paar weken is onze IT bezig om de bestaande Pulse/Ivanti VPN boel om te schakelen naar Forti... nu mogen ze weer aan de slag dus.

ik wens ze success

Shinji @IrBaboon79 • 23 oktober 2024 19:43

Dat ligt er maar net aan, meeste klanten waar ik mee heb gewerkt hebben een FortiManager gewoon intern op een apart management segment staan en deze is dan ook helemaal niet bereikbaar voor het gros van de gebruikers en al helemaal niet vanaf het internet.

Er zijn scenario's waarbij het aan internet hangen nuttig kan zijn maar als het even kan zou ik het uit mijn hoofd laten.

satya @Shinji • 23 oktober 2024 20:26

Precies, bij ons is netwerk en firewall management alleen mogelijk vanaf een specifieke sectie in het netwerk.

satya @Shinji • 23 oktober 2024 20:36

Kun je als je FortiManager gebruikt ook andere devices benaderen met ZTNA, of werkt dat alleen via Fortcloud?

DigitalExorcist @IrBaboon79 • 23 oktober 2024 15:35

Ivanti heeft ook voldoende kwetsbaarheden

dus tsja.

Andre_J 23 oktober 2024 13:36

Klopt helaas, wij zijn ook "getroffen " en hebben flink wat moeten aanpassen.

PdeBie @Andre_J • 23 oktober 2024 13:39

Zoals?

Andre_J @PdeBie • 23 oktober 2024 13:46

SD-WAN tunnels reconfigure
LDAP koppelingen vernieuwen
Certificaten vernieuwen
SNMP creds aanpassen
IPSec Tunnels reconfigure
Azure SSO Cert vernieuwen
en nog een handvol andere aanpassingen

[Reactie gewijzigd door Andre_J op 23 oktober 2024 13:48]

Yariva Moderator internet & netwerken @Andre_J • 23 oktober 2024 13:50

Zien dit niet maatregelen welke je preventief neemt om zeker te zijn dat de configuratie niet ergens in het openbaar is gekomen / iemand jou Fortigate in een FortiCloud omgeving zonder toestemming heb geregistreerd?

Triblade_8472 @Andre_J • 23 oktober 2024 22:50

Het vorige probleem met "coathanger" uit februari zorgde voor een backdoor die niet te verwijderen was zonder een totale factory reset/wipe.

Hoe weet je dat er nu niet weer een backdoor in geplaatst is als je wél weet dat je getroffen bent?

Yngwie- @Andre_J • 24 oktober 2024 08:41

Vraag me ook af hoe te zien is of een FM misbruikt is geweest?

Yariva Moderator internet & netwerken @Andre_J • 23 oktober 2024 13:48

Gezien de onduidelijkheid over de situatie vanuit Fortinet, hoe weet je dat je getroffen bent? Wat is de impact, hebben jullie een zeroday kunnen valideren? Wat was de aanpassing? Vinkje uitschakelen of een volledige upgrade? Zo ja, naar welke versie (gezien Fortinet hier nog niks over heeft gezegd)? Op welke versie draaien jullie?

Andre_J @Yariva • 23 oktober 2024 13:55

Ik DM je even.

killergrave @Andre_J • 23 oktober 2024 15:38

Kan je de info ook naar mij DM'en?
bvd

daanb14 23 oktober 2024 14:11

Man, man, man. De manier, waarop Fortinet hiermee met zijn partners omgaat is op zijn zachtst gezegd echt niet netjes. Vooral niet, omdat Fortinet zelf aanraadt om FortiManager achter een FortiGate te draaien. Hierdoor hadden ze prima het wel alvast kunnen melden en op de FortiGuard PSIRT-pagina een mitigatie kunnen voorstellen, waarin TCP-poort 541 alleen op whitelistbasis toegestaan wordt.

Dat is vervelend als je te maken hebt met firewalls achter CG-NAT, maar dat is een ongemak wat dan helaas maar geaccepteerd moet worden gezien de ernst van de situatie.

Voor nu:
Patchen!

Voor de toekomst:
Waar mogelijk poort TCP/541 alleen openen waar nodig. Draait een FortiGate ergens met een dynamisch IP? FortiGates kunnen standaard FortiDDNS gebruiken.

Zet het standaard registreren van unknown devices uit. Commando's daarvoor zijn:
config system global
set fgfm-deny-unknown enable
end

[Reactie gewijzigd door daanb14 op 23 oktober 2024 14:47]

himlims_ @daanb14 • 23 oktober 2024 14:28

vergeet ook niet dat fortinet zelf ~4wk geleden ook gehacked is, daarbij zou 'slechts' klant gegevens buitgemaakt zijn [..] en 'wonderbaarlijk', niet veel later lijken ook de afnemers getroffen te worden. 1+1= ...

wat mij betreft was dit laatste stukje fortinet-hw

[Reactie gewijzigd door himlims_ op 23 oktober 2024 14:28]

mduijm

@himlims_ • 23 oktober 2024 18:44

Heeft niets met elkaar te maken. Kan er verder niets over vermelden. Maar dit is 100% de waarheid.

[X]Death996 23 oktober 2024 13:37

Zou een zeer kwalijke zaak zijn als er een kwetsbaarheid is ontdekt en we het via tweakers lezen voordat het bedrijf zelf een officieel statement naar buiten brengt. Zeker als er reeds klanten (deels) geinformeerd zijn en er patches zijn uitgebracht.

DigitalExorcist @[X]Death996 • 23 oktober 2024 15:36

Daarom bestaat TLP. De communicatie was bedoeld voor uitsluitend specifieke users binnen de klanten van Fortinet (Amber+Strict). Vóórdat er een persbericht uit ging en de hele wereld, inclusief de bad guys, het dus weten.

En ja je kan argumenteren dat de bad guys het al wisten, omdat die kwetsbaarheid al misbruikt zou worden. Maar er is nog een verschil tussen dat élke scriptkiddie hier vanaf weet, of alleen bepaalde actoren.

Triblade_8472 @DigitalExorcist • 23 oktober 2024 15:54

Dat gaat toch naar zoveel mensen, dat komt echt wel in no-time op 't darkweb terecht.

Ze kunnen beter ASAP openheid van zaken geven.

En wellicht een berg meer investeren in het beter beveiligen van hun beveiligingsproduct... Het gaat de afgelopen tijd echt veel te vaak grof mis.

DigitalExorcist @Triblade_8472 • 23 oktober 2024 16:43

Dat laatste is allicht zo, natuurlijk moeten ze dat ook voorkomen. Maar het blijft gewoon knullig om een goedbedoeld communiqué online te smijten terwijl je als cybersecurity-medewerker behóórt te weten waar TLP voor staat en waaróm dat belangrijk is.

Triblade_8472 @DigitalExorcist • 23 oktober 2024 17:02

Klopt, dat schreef ik ook hier: Triblade_8472 in 'FortiManager heeft mogelijk kritieke kwetsbaarheid, bedrijf zegt niets - update'

satya @Triblade_8472 • 23 oktober 2024 20:39

Dat gaat niet zo snel, een kwetsbaarheid als deze gaat de markt op en dan moet je denken aan prijzen vanaf 5.000 tot 10.000 dollar om mee te beginnen.

stijnos1991 23 oktober 2024 13:36

Nuttige linkje voor de geïnteresseerden:

1: https://doublepulsar.com/...age-via-msps-c79abec59773

De kwetsbaarheid zou zitten in het FortiGate to FortiManager Protocol volgens bovenstaande blog.

[Reactie gewijzigd door stijnos1991 op 23 oktober 2024 13:37]

Kroketburger 23 oktober 2024 14:25

Wij zijn als klant op 13 oktober al via e-mail op de hoogte gesteld van de kritische vulnerability met een tijdelijke work-around via CLI.
Gisteren uiteindelijk een e-mail ontvangen met de definitieve fix (firmware upgrade).

nexhil 23 oktober 2024 13:40

Vooralsnog heeft Fortinet publiekelijk niets over de eventuele kwetsbaarheid gezegd. Tweakers heeft vragen uitstaan bij het cybersecuritybedrijf.

Succes met wachten.

PolarBear 23 oktober 2024 14:16

Ik snap het hele verhaal niet: https://www.reddit.com/r/.../1g6vspq/comment/lsnc32x/

Dit gaat over versie 7.2.8, maar die is al toch een tijdje uit als ik dit zie: https://docs.fortinet.com...e-notes/553516/change-log

En inmiddels is 7.2.10 al weer een maandje uit.

/edit
Never mind dit zijn de FortiGate en niet Fortimanger notes.

[Reactie gewijzigd door PolarBear op 23 oktober 2024 14:17]

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (33)

Sorteer op:

Weergave: