image

Zerodaylek in Fortinet FortiOS gebruikt voor aanvallen op overheden

dinsdag 14 maart 2023, 09:54 door Redactie, 6 reacties

Een vorige week verholpen kwetsbaarheid in Fortinet FortiOS is al voor het uitkomen van de beveiligingsupdate gebruikt bij zeroday-aanvallen op overheden, zo heeft Fortinet zelf bekendgemaakt. De kwetsbaarheid, aangeduid als CVE-2022-41328, maakt path traversal in execute command mogelijk. Hierdoor kan een aanvaller via command line commando's willekeurige bestanden lezen en schrijven.

Fortinet ontdekte het probleem nadat meerdere systemen bij een klant niet meer konden opstarten. Verder onderzoek wees uit dat een aanvaller de firmware-image van het Fortinet-apparaat had aangepast. Via de aanpassing is permanente toegang en controle mogelijk. De apparatuur controleert, wanneer de Federal Information Processing Standards (FIPS staat ingeschakeld, tijdens het opstarten de integriteit van de firmware. Wanneer de integriteitscontrole niet slaagt zal het systeem niet opstarten, wat tot het onderzoek van Fortinet leidde.

Op basis van de logbestanden bleek dat de aanvaller misbruik van path traversal maakte. Via de gebruikte exploit was het mogelijk om via een TFTP-server willekeurige bestanden naar het FortiGate-apparaat te uploaden en die vervolgens uit te voeren. Fortinet stelt dat de gebruikte exploit een uitgebreide kennis van FortiOS en de onderliggende hardware suggereert.

Daarnaast toont de gebruikte malware dat de aanvaller geavanceerde mogelijkheden heeft, waaronder het reverse engineeren van verschillende onderdelen van FortiOS, zo laat Fortinet verder weten. Het netwerkbedrijf stelt daarnaast dat het om een zeer gerichte aanval tegen specifieke overheden ging. Verdere details over de doelwitten zijn niet gegeven.

Reacties (6)
14-03-2023, 11:15 door Anoniem
Op basis van de logbestanden bleek dat de aanvaller misbruik van path traversal maakt
Zou het niet een beter idee zijn om per keer dat een fabrikant een lek van dit type in hun software blijkt te hebben, deze fabrikant bijv 3 jaar op de zwarte lijst voor toepassing buiten de hobbysfeer te plaatsen?
Dit komt wel erg amateuristisch over allemaal...
14-03-2023, 11:51 door Anoniem
Door Anoniem:
Op basis van de logbestanden bleek dat de aanvaller misbruik van path traversal maakt
Zou het niet een beter idee zijn om per keer dat een fabrikant een lek van dit type in hun software blijkt te hebben, deze fabrikant bijv 3 jaar op de zwarte lijst voor toepassing buiten de hobbysfeer te plaatsen?
Dit komt wel erg amateuristisch over allemaal...

Goed idee, dan blijven er 0 vendors over! Volgens mij snap jij niet helemaal dat zo ongeveer elk systeem wel kwetsbaarheden bevat die onwijs lastig zijn om te ontdekken. Vendors vermijden omdat er een keer een lek is gevonden is totaal niet realistisch. Het is veel belangrijker om bij vendors in de gaten te houden hoe adequaat ze reageren op dit soort lekken en of zij het onderzoeken en melden daarvan belonen of niet.
14-03-2023, 12:09 door Anoniem
Door Anoniem:
Op basis van de logbestanden bleek dat de aanvaller misbruik van path traversal maakt
Zou het niet een beter idee zijn om per keer dat een fabrikant een lek van dit type in hun software blijkt te hebben, deze fabrikant bijv 3 jaar op de zwarte lijst voor toepassing buiten de hobbysfeer te plaatsen?
Dit komt wel erg amateuristisch over allemaal...

Hoewel ik ook vind dat er strengere acties zouden moeten genomen worden tegen dergelijke "fouten" dnek ik dat een zwarte lijst ons tot de oertijd zal katapulteren. Welk hard of software leverancier is nog nooit het slachtoffer geworden van knullige zero-days. Meestal is de oorzaak te wijten aan het aantal teams die werken aan updates maar zolang er geen deftige QC is dan krijgt je dergelijke zaken.

Vroeger update men omdat het nodig was voor verbetering maar dag daags zegt men nu om niet de laatste versie te installeren omdat er wel dingen zijn die dan wel of niet meer werken.
Dit zegt veel over de huidige QC van de leveranciers en het vertrouwen dat we nog hebben in de leveranciers
14-03-2023, 13:14 door Anoniem
Hoewel ik ook vind dat er strengere acties zouden moeten genomen worden tegen dergelijke "fouten" dnek ik dat een zwarte lijst ons tot de oertijd zal katapulteren. Welk hard of software leverancier is nog nooit het slachtoffer geworden van knullige zero-days. Meestal is de oorzaak te wijten aan het aantal teams die werken aan updates maar zolang er geen deftige QC is dan krijgt je dergelijke zaken.

Vroeger update men omdat het nodig was voor verbetering maar dag daags zegt men nu om niet de laatste versie te installeren omdat er wel dingen zijn die dan wel of niet meer werken.
Dit zegt veel over de huidige QC van de leveranciers en het vertrouwen dat we nog hebben in de leveranciers

Software is tegenwoordig ook gigantisch complex vergeleken met vroeger. Zelfs met nagenoeg perfect QC ga je simpelweg niet alle mogelijke bugs ontdekken. Voor bijvoorbeeld OS'en is dat nog veel moeilijker dan een stuk software.

Het is veel nuttiger om te kijken hoe bedrijven reageren tegenwoordig dan naar hoeveel bugs ze hebben.
14-03-2023, 16:35 door Anoniem
Door Anoniem:
Door Anoniem:
Op basis van de logbestanden bleek dat de aanvaller misbruik van path traversal maakt
Zou het niet een beter idee zijn om per keer dat een fabrikant een lek van dit type in hun software blijkt te hebben, deze fabrikant bijv 3 jaar op de zwarte lijst voor toepassing buiten de hobbysfeer te plaatsen?
Dit komt wel erg amateuristisch over allemaal...

Hoewel ik ook vind dat er strengere acties zouden moeten genomen worden tegen dergelijke "fouten" dnek ik dat een zwarte lijst ons tot de oertijd zal katapulteren. Welk hard of software leverancier is nog nooit het slachtoffer geworden van knullige zero-days. Meestal is de oorzaak te wijten aan het aantal teams die werken aan updates maar zolang er geen deftige QC is dan krijgt je dergelijke zaken.

Precies. Daarom op de zwarte lijst (dreigen te) plaatsen zodat men dit goed inregelt.
Een path traversal lek daar kun je als leverancier echt niet meer mee aankomen vandaag de dag!
15-03-2023, 08:55 door Anoniem
Door Anoniem:
Hoewel ik ook vind dat er strengere acties zouden moeten genomen worden tegen dergelijke "fouten" dnek ik dat een zwarte lijst ons tot de oertijd zal katapulteren. Welk hard of software leverancier is nog nooit het slachtoffer geworden van knullige zero-days. Meestal is de oorzaak te wijten aan het aantal teams die werken aan updates maar zolang er geen deftige QC is dan krijgt je dergelijke zaken.

Vroeger update men omdat het nodig was voor verbetering maar dag daags zegt men nu om niet de laatste versie te installeren omdat er wel dingen zijn die dan wel of niet meer werken.
Dit zegt veel over de huidige QC van de leveranciers en het vertrouwen dat we nog hebben in de leveranciers

Software is tegenwoordig ook gigantisch complex vergeleken met vroeger. Zelfs met nagenoeg perfect QC ga je simpelweg niet alle mogelijke bugs ontdekken. Voor bijvoorbeeld OS'en is dat nog veel moeilijker dan een stuk software.

Het is veel nuttiger om te kijken hoe bedrijven reageren tegenwoordig dan naar hoeveel bugs ze hebben.

Maar sommige bedrijven houden zich al niet eens aan de basis regels qua software development / security, zoals een Fortinet waarbij al meerdere keren hardcoded credentials / keys zijn gevonden in hun software en ze bewust backdoors voor klanten maken die uiteindelijk ook "per ongeluk" bij de rest van de klanten worden uitgerold. Ja software is moeillijk, maar de slechte kwaliteit van Fortinet heeft hele andere redenen waardoor deze op een blacklist zou moeten komen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.