Fortinet waarschuwt voor actief misbruikte zeroday in FortiGate-firewalls

Fortinet waarschuwt voor een kritieke zeroday in FortiOS en FortiProxy. Cybercriminelen misbruiken de kwetsbaarheid volgens beveiligingsbedrijf Arctic Wolf al sinds november om binnen te dringen in FortiGate-firewalls. Fortinet heeft patches uitgebracht.

Het gaat om kwetsbaarheid CVE-2024-55591, die qua ernst een score van 9,6 op een schaal van 10 krijgt. Met de kwetsbaarheid krijgen aanvallers op afstand superadminprivileges door malafide verzoeken te doen aan de Node.js-websocketmodule, schrijft Bleeping Computer. Het probleem doet zich voor in FortiOS 7.0.0 tot en met 7.0.16, FortiProxy 7.2.0 tot en met 7.2.12 en FortiProxy 7.0.0 tot en met 7.0.19.

Volgens Fortinet gebruiken aanvallers de fout om willekeurig gegenereerde admin- of lokale gebruikers aan te maken op gecompromitteerde apparaten. De accounts worden vervolgens toegevoegd aan bestaande SSL-vpn-gebruikersgroepen of nieuwe groepen die ook toegevoegd worden. Met de accounts loggen ze vervolgens in op SSL-vpn, om zo een tunnel op te zetten naar het interne netwerk. Daarnaast passen cybercriminelen firewallbeleid en andere instellingen aan.

Beveiligingsbedrijf Arctic Wolf publiceerde eind vorige week zijn bevindingen over de zeroday. Het bedrijf observeerde de aanvalscampagne voor het eerst in december, maar stelt dat de campagne al veel langer loopt. In november begon de eerste van vier fasen, waarbij criminelen scannen op kwetsbare apparaten. Vervolgens wordt er een verkenningsmissie opgestart, die enkele dagen duurt. In december startte de derde fase, waarin SSL-vpn geconfigureerd werd. Tussen 16 en 27 december werd vervolgens lateraal bewogen binnen getroffen netwerken.

Arctic Wolf heeft ook een lijst vrijgegeven met indicatoren dat een apparaat gecompromitteerd is. Fortinet zelf heeft inmiddels patches uitgebracht voor het probleem, die de kwetsbaarheid dichten. Het bedrijf adviseert beheerders verder om de administratieve HTTP/Https-interface uit te schakelen of te beperken welke IP-adressen bij deze interface kunnen komen.

Getroffen versie	Oplossing
FortiOS 7.0.0 tot 7.0.16	Upgraden naar 7.0.17 of nieuwer
FortiProxy 7.2.0 tot 7.2.12	Upgraden naar 7.2.13 of nieuwer
FortiProxy 7.0.0 tot 7.0.19	Upgraden naar 7.0.20 of nieuwer

Reacties (62)

cool0 16 januari 2025 08:34

Ik snap ook niet waarom bedrijven nog fortinet willen gebruiken elk jaar weer is hun zero day lijst 100+ aan CVE's. Je hebt bijna fulltime een medewerker nodig om de patches te draaien die nodig zijn.

daanb14 @cool0 • 16 januari 2025 09:28

Omdat:
1. Fortinet heel erg open is over kwetsbaarheden die worden gevonden en het merendeel zelf vindt.

2. Je alle best practices moet schenden om door deze bug geraakt te worden. Het inschakelen van management op de WAN moet je zelf expliciet uitvoeren. Dan hoor je gewoon local-in-policies in te stellen.

3. Er niet veel concurrentie is die een gelijkwaardige set functionaliteit aanbiedt en al helemaal niet voor die prijs. FortiGate is buiten dit soort dingen om gewoon een heel erg fijn product met ontzettend veel functionaliteiten waar je nooit bij stilstaat, totdat je ze ineens mist in andere producten. Daarnaast is het kunnen gebruiken van SD-Branch met FortiSwitch en FortiAP ook ontzettend gebruiksvriendelijk en bespaart het je enorm veel tijd om je firewalls, switches en APs in 1 beheeromgeving te hebben.

[Reactie gewijzigd door daanb14 op 16 januari 2025 09:42]

batjes

Security

@daanb14 • 16 januari 2025 09:48

Allemaal mooi en aardig.

Maar zodra je b.v. tegen problemen aanloopt met je VPN verbinding, zoals b.v. het probleem dat Fortigates echt JAREN lang moeite hadden met IPv6 en je dit ergens in de donkere krochten van het internet terug moet vinden, i.p.v. bij Fortinet zelf.

Wil je log bestanden uit Fortinet VPN Client? Daar moet je een abo voor afnemen.

Hoe ze met die FortiTokens om gaan is ook echt ronduit belachelijk, wil je een andere MFA methode gebruiken, mag je de CLI in duiken. Terwijl dat niet zo lang geleden nog gewoon een klikbare optie in de GUI was.

Ze doen her en der redelijk wat goed, maar ze zijn her en der ook het schoolvoorbeeld van bedrijf dat echt de hele flikkerbende geoptimaliseerd heeft voor inkomen.

Luchtbakker @batjes • 16 januari 2025 10:03

Maar welk alternatief wil je aandragen die deze problemen niet heeft, plus de functionaliteiten van Fortinet/gate hebben?

Triblade_8472 @Luchtbakker • 16 januari 2025 10:13

Hangt er helemaal van af welke functionaliteit je zoekt.

Snel een paar ideeën.
Sophos XG(S)
Palo Alto

smartsys @Triblade_8472 • 16 januari 2025 10:44

Palo Alto en Sophos zijn gewoon even "onveilig" als Forti. Doe heel even een check op Palo Alto CVE en Sophos CVE en je ziet gewoon een heel vergelijkbare lijsten als Forti.

De apparaten zijn tegenwoordig best complex, de software kent duizenden regels code en draaien vaak op een custom UX variant. Een lek in het OS, is vaak een lek in de firewall. Het is bijna onmogelijk om 100% veilig te zijn.

Ik zou een product of bedrijf pas lager inschakel als ze bewust lekken achterhouden of erg laks omgaan met lekken.

Triblade_8472 @smartsys • 16 januari 2025 12:56

Palo Alto en Sophos zijn gewoon even "onveilig" als Forti. Doe heel even een check op Palo Alto CVE en Sophos CVE en je ziet gewoon een heel vergelijkbare lijsten als Forti.

Ok, ga ik doen!
Even zoeken van het afgelopen jaar.

Fortinet fortios
https://www.cvedetails.co...roduct_id=6632&fromform=1
Totaal: 46

PAN, pan-os
https://www.cvedetails.co...oduct_id=26167&fromform=1
Totaal: 34

CVSS:
Forti:
0-1: 0
1-2: 0
2-3: 0
3-4: 3
4-5: 4
5-6: 6
6-7: 8
7-8: 12
8-9: 7
9+: 6

pan:
0-1: 0
1-2: 0
2-3: 1
3-4: 0
4-5: 3
5-6: 6
6-7: 7
7-8: 8
8-9: 7
9+: 2

Ga je tussen 2023 en 2024 kijken, dan wordt het verschil nog vele malen groter.
forti: 45, waarvan 3x 9+
pan: 13, waarvan 0x 9+

Dus nee, niet vergelijkbaar. Op z'n slechtst doet PAN het 1/3 beter.

BSimpson @Triblade_8472 • 16 januari 2025 13:36

Je bent lekker bezig. Verteld alleen niet het hele verhaal. Check nu eens hoeveel CVE's door de bedrijven zelf wordt gevonden? Fortinet vindt er ongeveer 85% zelf en ongeveer 15% door anderen. Bij Palo is dat cijfer omgekeerd. Zo kan ik het natuurlijk ook

Triblade_8472 @BSimpson • 16 januari 2025 17:51

Als er geen cve's zijn, hoe ga je ze dan vinden?

Je herhaalt overal dat ze geweldig zijn dat ze zelf zoveel bugs vinden.

Maar als je product best goed is, is het best lastig eigen bugs te vinden.

Daarnaast, de een noemt het gewoon een security update en de ander klopt zichzelf op de borst dat ze zoveel eigen lekken vinden. Tja, het is maar hoe je jezelf graag promoot denk ik.

En dan nog, liever een product met 30 bugs waarvan 5 zelf gevonden dan een met 45 bugs en 25 zelf gevonden...

smartsys @Triblade_8472 • 16 januari 2025 13:40

Ik begrijp je redenatie niet waarom er sprake is van "beter" of "slechter" ?

Het staatje wat je nu doorstuurt is alleen een samenvatting over CVEs van de afgelopen periodes.
Dat zegt eigenlijk niet veel over de "kwaliteit" van een partij. Hoelang heeft het geduurd voordat deze CVEs zijn gedicht?
Waar het om zou moeten gaan is dat een partij lekken tijdig vind en vervolgens ook oplost en hier open en transparant over communiceert. Volgens mij doen ze dat allemaal wel.

Zoals eerder ook door iemand anders is aangegeven.
Ik heb liever een product waar 50 lekken per jaar in worden gevonden en snel opgelost, dan een product waar er 10 worden gevonden en opgelost, maar er ook 5 worden gemist of waar het oplossen van die 10 issues, vele weken heeft geduurd.

Triblade_8472 @smartsys • 16 januari 2025 17:53

Ik reageer op commentaar dat de een minimaal even goed is, want er zitten even e bugs in.

Ik zeg verder niks.

Mijn mening is echter wel dat het aantal, met name critical, cve's best belangrijk is om mee te wegen.

Forti doet gewoon teveel waardoor er teveel lekken in komen, dat is wat ik denk. Leuk dat ze er open over zijn, maar ondertussen is het wel mis.

Powermage @Triblade_8472 • 16 januari 2025 12:37

Sophos haalt het kwalitatief ook niet echt bij Fortigate.
Daarnaast wisselen die nog harder van lijnen waardoor je steeds een andere firewall krijgt etc.

batjes

Security

@Powermage • 16 januari 2025 18:54

Nog erger, Sophos veranderd BINNEN hetzelfde type doodleuk de specs.

We hadden 2 exact detzelfde types Sophos (herinner me alleen niet welke). Aanschaf datum zat +/- een jaar tussen. Compleet andere firewall, frontpaneel was anders en features waren niet eens gelijk.

JvZ @Triblade_8472 • 16 januari 2025 12:39

Ik werk nu al een aantal jaar met Sophos XGS i.c.m. Sophos RED voor kleinere locaties, maar het zijn rampproducten. Niet alleen de CVE's die er net zo goed in zitten. Maar vooral een trage bagger interface waar veel functionaliteit mist die wel in Sophos UTM zat, heel vaak bugs waar je tegenaan loopt die niet of een half jaar later pas worden opgelost. Bagger support afdeling. Onze security afdeling wil juist overstappen naar Forti om van alle problemen af te komen.

Dus check vooral ook reviews van de buren voordat je een vervanger kiest. Geldt voor onszelf net zo nu we naar alternatieven kijken.

MainframeX @JvZ • 16 januari 2025 22:02

Ik was even op zoek naar deze comment xD. Zelf ook met Sophos XG/XGS gewerkt en het is echt derderangs baggerzooi. Het is echt niet te geloven dat dit product de UTM productlijn moet opvolgen.

smartsys @MainframeX • 17 januari 2025 13:46

Is het niet, net als bij Forti en Palo Alto, dat vaak voor een te "kleine" unit wordt gekozen om kosten te drukken.
Ik kan veel voorbeelden waarbij Sales Fortigates aanbood uit de 60 of 80 range puur op basis van prijs. Vervolgens blijkt een klant een 1GBps internet pijp te hebben waar 300 man overheen werken met verschillende SaaS oplossingen, VoiP en VPNs tussen locaties. De Fortigate moet ook nog 15 Accesspoints aansturen in tunnel mode en zaken als IPS en Antivirus etc... worden allemaal ingeschakeld, want zo is het verkocht.

Vervolgens krijgen we de dag erna al klachten m.b.t. performance en simpelweg geen verbinding. Ga je naar zo'n firewall kijken, staat ie op 98% CPU load en vliegen de High Mem meldingen om je oren.
Alleen door vervolgens zaken uit te schakelen is vervolgens weer een werkbare situatie te maken.
Na veel heen en weer discussie staat er iemand 4 maanden later opnieuw een firewall cluster uit de 100 of zelfs 200 serie te migreren en moet die veel te kleine unit maar teruggenomen worden.

Powermage @smartsys • 17 januari 2025 13:57

Grappig, ik vind altijd juist die relatief kleine fortigates altijd super goed performen, maken eigenlijk ook altijd wel waar wat ze zouden doen.

Er zijn andere merken waar je gerust de waardes kan halveren of nog minder, en dan nog hebben ze het zwaar.

MainframeX @Powermage • 17 januari 2025 22:31

Wat smartsys denk ik bedoelt is wanneer je o.a. allerlei filtering op laag 7 gaat inschakelen, dan gaat de performance wel hard achteruit. Overigens zijn de voorbeelden die van een 60d waar dan 300 man op moet werken wel echt een excess hoor. Dat soort verkopers moet je eigenlijk linea recta op training sturen.

MainframeX @smartsys • 17 januari 2025 22:29

Gelukkig heb ik bij een toko gewerkt waar de firewalls gelijk vanaf dag 1 wel goed gesized werden. Natuurlijk kwam het weleens voor dat door wensen van de klant later een andere unit nodig is, maar dan stem je gewoon de mogelijkheden af met wat ze hebben.

Waar ik meer op doel is gewoon echt de ronduit erbarmelijke kwaliteit van de software die Sophos draait. Het is kwalitatief gewoon echt een stap achteruit dan Fortigate.

daanb14 @batjes • 16 januari 2025 09:55

En ook dat is waar. De issues met v6 ben ik zelf gelukkig nog niet tegenaan gelopen (iets met corporate wat heel langzaam is in de adoptie ervan). Dat met de FortiTokens echter wel en dat is gewoon een ordinaire cashgrab. Laat mij alsjeblieft gewoon een standaard TOTP-applicatie gebruiken in plaats van FortiToken Mobile.

Ik zou daarom een volwaardige concurrent met een gelijke featureset, gebruiksvriendelijkheid en integratie met switches en APs ook van harte aanmoedigen. Daar wordt Fortinet ook alleen maar scherper van.

batjes

Security

@daanb14 • 16 januari 2025 18:59

Mocht je wel eens tegen spookproblemen aanlopen bij gebruikers die bij 70% ergens tijdens het connecten ineens een generieke foutmelding kregen en dat het een paar uur later spontaan wel weer werkt.

Ipv6 uitzetten en het probleem was foetsie.

Heeft zeker 2 jaar geduurd voordat dit gefixed was, volgens mij is het nog niet gefixed. Alleen kom ik nu veel minder in aanraking met Fortigates en VPN (en nog ben ik het 2 keer tegen gekomen in het afgelopen jaar dat gebruikers spontaan niet meer met de VPN konden verbinden en een uur later wel, geen verder onderzoek meer naar gedaan).

Nu Fortinet ook nog eens SSL VPN uit 40-60Fs gaat slopen is bij ons best hard aan gekomen, die paar Fortigate 60Fjes die we hebben, hebben we puur vanwege die SSL VPN.

Yordi- @batjes • 16 januari 2025 10:35

Als je de CLI niet begrijpt hoor je niet met dit soort apparatuur te werken, of hoor je dat uit te besteden.

[Reactie gewijzigd door Yordi- op 16 januari 2025 12:46]

batjes

Security

@Yordi- • 16 januari 2025 19:02

Heeft niets met niet begrijpen te maken. Maar is toch onnozel dat je in 6.nogwat nog gewoon email kan selecteren en dat in de 7.* versies in de CLI verstopt is.

Ik vind dat soort praktijken gewoon minpunten.

Ik zie graag MFA, maar niet verplicht in fabrikanten hun apps. Dat houdt de adoptie ook tegen. Want die Fortitoken app is waardeloos als generieke authenticator

Tozz @daanb14 • 16 januari 2025 13:18

Nou, je 1e argument gaat toch echt niet op. De kwetsbaarheid in de NodeJS Console die deze week geopenbaard is is heel lang geheim gebleven. Berichten op publieke fora zijn verwijderd (oa. Reddit).

In begin December hebben wij de IoC's al op 1 van onze FortiGates gezien, en nu bijna 2 maanden later komt Fortinet een keer met een CVE.

BSimpson @cool0 • 16 januari 2025 09:05

Wist jij dat van alle kwetsbaarheden die worden gevonden, Fortinet er zelf zo'n 85% vind met hun security team?

Wij gebruiken al jaren FortiGates bij onze klanten en juist de transparantie over de kwetsbaarheden en het actief zoeken er naar is wat ons betreft goud waard. Liever een bedrijf die kwetsbaarheden vind, meld en oplost dan een bedrijf die "nooit" kwetsbaarheden heeft. Dat is voor mij een instant red flag.

"ik snap niet waarom bedrijven nog Fortinet willen gebruiken". Wat voor OS gebruiken jullie op het werk? Windows? "Snap niet waarom bedrijven dat nog gebruiken"

HollowGamer @BSimpson • 16 januari 2025 11:13

Ik snap de Windows vergelijking niet zo. Het meerendeel zit daar in legacy stuff die ze maar niet weggooien en verder is het een OS dat heel graag je data verzameld.

Persoonlijk mis ik echt goede firmware op netwerk apparatuur. Alles wat ik tot nu toe heb gezien was zo lek als een mandje (vooral de webui) of gevoelig voor fouten.

SunnieNL

@HollowGamer • 16 januari 2025 11:43

De vergelijking komt omdat de originele melder zich afvraagt waarom mensen nog software gebruiken met 100+ cve's. Dat het bij windows (mogelijk) vooral door legacy stuff komt, maakt toch niet uit. Windows patched maandelijks 20+ cve's. Volgens de definitie van de eerste post zou niemand die software nog moeten gebruiken.

Een goede firmware voor netwerkapparaten gaat net zo veel CVE's hebben. Libraries die worden gebruikt worden geupdate vanwege security zaken en dan zit die vulnerability gelijk in een veel apparaten.

Je gaat geen firmware schrijven van scratch en alle wielen voor de webgui zelf uitvinden. Dat is vragen om nog meer problemen en meer CVE's die je allemaal zelf moet gaan oplossen.

Christoxz @cool0 • 16 januari 2025 08:48

Enigszin een punt, maar het heeft ook weer te maken met dat Fortinet/gate veel gebruikt worden en er dus veel aandacht is. Liever veel CVE's dan geen CVE's terwijl het eventueel wel onveilig kan zijn.

Daarnaast zijn veel lekken al simple tegen te houden met simpele instellingen die een bedrijf bij default al zou moeten hebben.
Geen HTTP/HTTPS portal open voor publieke verbindingen en/of toegang limiteren tot bepaalde IP's.

Scriptkid @cool0 • 16 januari 2025 09:52

Tweakers draait op fortinet

RobbyTown

@cool0 • 16 januari 2025 09:24

Dat word dan massaal ook overstappen op Linux? MS Windows en MS Office ook regelmatig zerodays.

cool0 @RobbyTown • 16 januari 2025 12:08

Is totaal anders aangezien een UTM geen gebruikers device is maar een netwerk component.

RobbyTown

@cool0 • 16 januari 2025 12:19

Klopt. Maar als HTTP/Https-interface uit staat aan het wereldwijde web of te beperken welke IP-adressen bij deze interface kunnen komen. Wat eigenlijk bij voorbaat al moet zijn. Dan valt de impact ook weer mee.

Hoe dan ook een zeroday blijft een zeroday...
https://www.security.nl/p...tion+VSP+actief+misbruikt

SniperBear @cool0 • 17 januari 2025 08:34

Is het juist niet een positief iets dat deze kwetsbaarheden worden gevonden en vrij snel een patch voor uit komt?

Het zou voor mij een veilig gevoel geven, meer ook dat het door het bedrijf zelf wordt gevonden. Vaak als je de hele Fortinet setup draait, is de kans groot dat er een Netwerkbeheerder rond loopt.

cool0 @SniperBear • 23 januari 2025 09:49

Van een post van LinkedIn het probleem bij fortinet zit veel dieper:

Hard-coded credentials, weak encryption, and other vulnerabilities outlined in the OWASP Top 10 aren’t minor oversights—they are critical failures in secure software design. These issues, as repeatedly seen in Fortinet products, highlighting poor coding practices exposing entire networks to exploitation. For example, features like "magic strings" or hardcoded keys, which were introduced at the request of customers, represent a complete disregard for fundamental security principles that later made it into their global code base. These aren’t just bugs; they are systemic flaws that undermine trust in the product and put organizations at risk. I critique Fortinet not to single them out unfairly but to emphasize the importance of secure coding practices in protecting users from preventable threats. Security isn’t just about fixing vulnerabilities—it’s about building systems that don’t introduce them in the first place.

Here are examples:

* Breaking the Fortigate SSL VPN https://lnkd.in/g6sA4Z-a
* Remote Password Change Vulnerability https://lnkd.in/gAG6btPi
* Fortinet FortiSIEM Hardcoded SSH Key https://lnkd.in/gHw_J9wE
* Hard-coded password raises new backdoor eavesdropping fears https://lnkd.in/gHUz24fk
* Some Fortinet products shipped with hardcoded encryption keys https://lnkd.in/gY3rF84Z
* Multiple Fortinet products use a weak encryption cipher \ “XOR”\  and hardcoded cryptographic keys https://lnkd.in/gf6W-HcA

This write up from Fortinet 🤯🤯 : "it was also disclosed and fixed  in May 2019 that FortiOS included a “magic” string value that had been previously created at the request of a customer to enable users to implement a password change process when said password was expiring. That function had been inadvertently bundled into the general FortiOS release" https://lnkd.in/gAG6btPi

bertje @cool0 • 20 januari 2025 13:02

Het betreft een lek in vrij oude versies. Als je de Fortinet richtlijnen volgt zit je met je Fortigates al (minimaal) op 7.2.x en met FortiProxy op 7.4.x.

sanscorp 16 januari 2025 08:23

2,5 maand vrij je gang kunnen gaan op een intern netwerk voordat het mogelijk gepatched wordt, is dat niet veel te lang? Hebben users eerder een waarschuwing en mogelijkheid gehad om een workarround toe te passen of desnoods de boel uit te zetten?

BSimpson @sanscorp • 16 januari 2025 08:28

Als je best practices volgt is er niets aan de hand. Cyber security les #1: Zet niet je management interface open naar het internet toe.

Als je dat wel doet (om wat voor reden dan ook). Werk met local-in policies. Zorg ervoor dat je alleen vanuit een vertrouwde omgeving er bij kan.

WhiteHatter @BSimpson • 16 januari 2025 08:33

Precies, er is geen enkele reden om je management interface open te hebben voor internet en al helemaal niet op de standaard poort.

Tweekzor @WhiteHatter • 16 januari 2025 08:43

Geef alsjeblieft niet het advies dat een standaard poort verwisselen ook maar enigszins een security advies is. Het maakt niet uit op welke poort je een service publiceert, die wordt toch wel gevonden. Elke poort wordt gescand en met services als Shodan is het ook makkelijk voor aanvallers om deze te vinden door gewoon op de service headers te zoeken.

coolkil @Tweekzor • 16 januari 2025 08:54

Tuurlijk is het wisselen van poort een prima idee. Als het maar niet je enige beveiliging methode is…

Zie het een beetje als een kluis achter het schilderij. Het maakt de kluis niet persee veiliger maar wel minder zichtbaar.

Daarnaast voorkomt het een boel traffic van allerlei bots die non stop geautomatiseerd requests met payloads op bepaalde poorten sturen.

[Reactie gewijzigd door coolkil op 16 januari 2025 08:57]

wooha @coolkil • 16 januari 2025 09:37

Het punt is dat je die kluisdeur met of zonder schilderij ervoor niet aan de buitenmuur van je huis monteert.

coolkil @wooha • 16 januari 2025 10:02

Tuurlijk. Dat zeg ik ook het is aanvullend op echte security.

WhiteHatter @Tweekzor • 16 januari 2025 09:23

Het maakt wel degelijk uit, en het is zeker niet het enige wat je moet doen.. 80% van de botnets zijn nog steeds gewoon domme scriptjes die standaard requests doen op de bekende poorten en zoeken naar bekende exploits op die poort.. Alle kleine beetjes helpen.

Pinkys Brain @BSimpson • 16 januari 2025 09:45

Wel een beetje idee dubbel condoom om een VLAN met een aparte VPN (want remote moet kunnen) op de Fortinet management interface te zetten.

Call of Duty @sanscorp • 16 januari 2025 08:41

Helaas wel vaak de realiteit. Bedrijven met een focus op de buitenste laag houden veel buiten maar als het ooit mis gaat -en dat gaat het ooit- dan zie je dat veel bedrijven minder tot geen detectie op het interne netwerk hebben. Of er komt weer een nieuwe slimmigheid vanuit de aanvallende partij natuurlijk, het blijft een kat-en-muisspel.

Cyberpuppy @Call of Duty • 16 januari 2025 13:26

Ik wil best scannen op het interne netwerk. Helaas zijn de producten die dit fatsoenlijk kunnen niet bepaald MKB vriendelijk geprijsd.

En veel goede Enterprise tools zijn in een MSP model niet te gebruiken, dus die vallen ook al weer af.

daanb14 @sanscorp • 16 januari 2025 09:20

Zoals hier al genoemd moet je daarvoor echt best practices schenden. Nog een belangrijke toevoeging daarbij is dat management vanaf de WAN-interface standaard niet aan staat. Je moet expliciet de beslissing nemen om management naar het hele internet open te zetten. Als je dat doet, moet je wel weten wat je doet en netjes local-in-policies en trusted hosts gebruiken.

nelizmastr 16 januari 2025 08:57

7.0 branch van FortiOS is al borderline legacy en alle firewalls die 7.0 kunnen draaien kunnen ook 7.2. 7.2 ondersteunt ook auto-update, dus pak het een beetje slim aan en upgrade weg van de 7.0 branch.

7.2 is al langere tijd mature en zelfs 7.4 is zover

[Reactie gewijzigd door nelizmastr op 16 januari 2025 09:23]

Drardollan @nelizmastr • 16 januari 2025 09:22

Echt met stip het slechtste advies denkbaar omtrent Forti producten. De stelregel bij de meeste beheerders van Forti producten is om de oudste supported versie te draaien die voldoet aan je eisen. Dan heb je de minste problemen. Tenzij er een noodzaak is om naar een hogere versie te schalen (bijvoorbeeld bepaalde features nodig) lekker blijven hangen zo lang het kan.

Het lek waaruit deze gegevens komen zat hem in de relatief vroege releases van de versies. Ik weet nog dat ik op dat moment, lekker conservatief, op de 6.4 branche zat.

Auto update op edge devices, hoeveel beheerders zouden dat vrijwillig aanzetten? Leuk voor een smartphone of Windows werkstation, maar daar houdt het wel op wat mij betreft. Niemand wil zijn dag starten met al zijn omgevingen down omdat er in de update een fout zat.

nelizmastr @Drardollan • 16 januari 2025 09:25

Auto update op edge devices, hoeveel beheerders zouden dat vrijwillig aanzetten? Leuk voor een smartphone of Windows werkstation, maar daar houdt het wel op wat mij betreft. Niemand wil zijn dag starten met al zijn omgevingen down omdat er in de update een fout zat.

Omdat beheerders wel iets beters te doen hebben dan hele dagen CVE's en updates bijhouden misschien? Leuk als je dedicated netwerk beheerder bent of groot genoeg bent om een SOC te hebben, maar ik zie een in te plannen updatesysteem juist als een pré.

Weet dat je auto-updates net als bij Microsoft kunt inplannen en dus niet per se op de dag zelf direct de sjaak bent met een rotte update. We zetten dat al standaard op een maand, tijd zat.

M.a.w. let's agree to disagree.

Drardollan @nelizmastr • 16 januari 2025 09:30

Ik denk dat je dan niet helemaal snapt hoe het op dat niveau werkt. Als je omgevingen van enig formaat beheerd van Forti dan is daar al jaren tooling voor die door praktisch iedereen gebruikt wordt: FortiManager. Daarmee houd je de controle en hoef je niet terug te vallen op blackbox methodes zoals auto update. Updates van belangrijke systemen wil je als beheerder altijd 100% onder controle hebben, maar dat betekent niet dat je ze perse met de hand moet gaan zitten uitvoeren.

Wat betreft het in de gaten houden van CVE's en updates, dat is nu eenmaal je vak als beheerder. Gelukkig is ook daar tooling voor om het je makkelijker te maken en het overzicht te bewaren.

nelizmastr @Drardollan • 16 januari 2025 09:45

Als je groot genoeg bent dat een Fortimanager uit kan is het inderdaad een super tool, helaas is dat voor kleine ICT bedrijven dus net het probleem, er is niet altijd een paar duizend per jaar over om één beheertool te onderhouden.

Vanuit de gedachte van een grote organisatie ben ik het met je verhaal eens, maar besef dat voor kleine organisaties die ook Fortinet producten leveren er andere factoren spelen waardoor juist auto-update functionaliteit waardevol kan zijn.

CAPSLOCK2000

Beveiliging en antivirus
Security
Cybercrime

@Drardollan • 16 januari 2025 15:11

Echt met stip het slechtste advies denkbaar omtrent Forti producten. De stelregel bij de meeste beheerders van Forti producten is om de oudste supported versie te draaien die voldoet aan je eisen.

Dan ben je dus altijd 1 update verwijderd van een unsupported systeem. Als een update mislukt (of om wat voor reden dan ook niet mogelijk is) kun je niet meer terug naar een oudere 'known-good' versie en je hebt ook geen tijd meer om een andere oplossing te zoeken.

Dan heb je de minste problemen.

Security is altijd een balans tussen veiligheid en extra gedoe. De minste problemen heb je door helemaal geen firewall te hebben

De juiste balans verschilt natuurlijk per geval, maar ik geef er de voorkeur aan om snel en vaak te update zodat ik veel tijd en opties heb als er complicaties optreden.

Drardollan @CAPSLOCK2000 • 16 januari 2025 16:43

Ik zeg niet dat je de oudst mogelijk versie moet draaien tot 2 dagen voor hij uit support gaat. Enig gezond verstand lijkt mij daar op zijn plaats. Ik houd zelf als stelregel 6 maanden aan, dat geeft mij genoeg tijd voor een rustige overgang en voldoende zekerheid om terug te kunnen grijpen op een vorige versie als dat ooit nodig zou zijn.

Maar heel eerlijk is dat terug grijpen niet echt een ding, want door deze strategie te volgen stap je bij een volgende versie in op een moment dat deze al heel ver gevorderd en behoorlijk uitgekauwd is.

Bij Forti is het, over het algemeen zo, dat nieuwe releases vol zitten met problemen. Het is niet voor niets dat het vrij lang duurt voor branches als mature worden aangemerkt.

daanb14 @nelizmastr • 16 januari 2025 09:17

7.2.10 bevat zelfs nog een bug die de Gate in conserve mode kan laten gaan bij FortiGuard DB updates. Ik kan mij voorstellen dat mensen door dit soort dingen nogal afwachtend zijn met updaten. Het gaat om bug ID 983467.

The-Source 16 januari 2025 08:15

Heb hier gisteren binnen het bedrijf wel het nodig over gehoord. Maar aangezien wij vaak naar fortigate firewall connecten valt het mij op sommige firewall wel ssl vpn client 6.4 accepteren maar niet de nieuwere 7.x
Weet iemand hoe dit kan en ook of de firewalls die geen client 7.x connectie accepteren ook vatbaar zijn?

Call of Duty @The-Source • 16 januari 2025 08:34

Lijkt niet dat die voor deze CVE kwetsbaar is anders hadden ze het er wel bijgezet lijkt me. Verder is 6.4 sinds maart 2023 niet meer ontwikkeld en in zeven maanden is het ook out of support. Het wisselen van firewalls kan potentieel flink wat testwerkzaamheden opleveren, je kan best een balletje opgooien om te kijken of ze er al mee bezig zijn. Die zeven maanden zijn zo voorbij.

Drardollan @Call of Duty • 16 januari 2025 13:04

6.4 is al maanden out of support, sinds september 2024 al.

Verder heeft de FortiClient niets van doen met deze CVE.