Fortinet FortiNAC door middel van kritiek lek op afstand over te nemen
Een kritieke kwetsbaarheid maakt het mogelijk voor ongeauthenticeerde aanvallers om de Fortinet FortiNAC-systemen op afstand over te nemen. Fortinet heeft beveiligingsupdates uitgebracht om het probleem te verhelpen. Organisaties worden opgeroepen de update snel te installeren. Eerder dit jaar werd een andere kwetsbaarheid een week na het uitkomen van de beveiligingsupdate al misbruikt.
Fortinet FortiNAC is een "network access control" oplossing waarmee organisaties kunnen bepalen welke apparaten toegang tot het netwerk mogen krijgen. Ook geeft de oplossing een overzicht van alle apparaten op het netwerk, bepaalt het risico van elk endpoint en biedt netwerksegmentatie. Zo kunnen organisaties instellen dat alleen apparaten met een bepaald patchniveau verbinding mogen maken. FortiNAC kan worden geïnstalleerd op een virtual machine of fysieke server.
Een kwetsbaarheid in het product, aangeduid als CVE-2023-33299, maakt het mogelijk voor ongeauthenticeerde aanvallers door het versturen van speciaal geprepareerde requests willekeurige code of commando's op het systeem uit te voeren. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.6.
Juist! Cisco, Aruba, Palo Alto en Juniper hebben nooit CVE’s!!
/s
Juist! Cisco, Aruba, Palo Alto en Juniper hebben nooit CVE’s!!
/s
Maar de vraag is echter "Heeft Fortinet zulke goed threat hunters? en andere organisaties niet" of "Blunderd fortinet zo veel"
Juist! Cisco, Aruba, Palo Alto en Juniper hebben nooit CVE’s!!
/s
Je herkent de maturiteit van een securitybedrijf aan het aantal kwetsbaarheden (kijk naar high en critical severities, publieke data) in hun producten én, belangrijker, de manier hoe én hoe snel ze hiermee om gaan. En als je die correlatie maakt zie je dat Fortinet echt niet goed scoort.
Juist! Cisco, Aruba, Palo Alto en Juniper hebben nooit CVE’s!!
/s
Maar de vraag is echter "Heeft Fortinet zulke goed threat hunters? en andere organisaties niet" of "Blunderd fortinet zo veel"
Ik denk dat het mede te maken heeft met het feit dat heel veel fortinet systemen neergezet worden door leveranciers met onvoldoende kennis, hierdoor is de grote installbase het perfecte target.
Juist! Cisco, Aruba, Palo Alto en Juniper hebben nooit CVE’s!!
/s
Maar de vraag is echter "Heeft Fortinet zulke goed threat hunters? en andere organisaties niet" of "Blunderd fortinet zo veel"
Ik denk dat het mede te maken heeft met het feit dat heel veel fortinet systemen neergezet worden door leveranciers met onvoldoende kennis, hierdoor is de grote installbase het perfecte target.
Het zijn CVE's, geen manke configs. Het is zoals een tank verkopen voor op het slagveld met een veel te dun pantser. Enkel te wijten aan slordig werk bij Fortigate zelf. Vals veiligheidsgevoel dus.
schrok enorm van de typevauten in de code en met name in osfp en bgp...
alsof digibetische indiers de code geklopt hadden...
van die mensen die engels praten maar niet verstaanbaar zijn als je niet uit engeland of india komt.
Juist! Cisco, Aruba, Palo Alto en Juniper hebben nooit CVE’s!!
/s
Maar de vraag is echter "Heeft Fortinet zulke goed threat hunters? en andere organisaties niet" of "Blunderd fortinet zo veel"
Ik denk dat het mede te maken heeft met het feit dat heel veel fortinet systemen neergezet worden door leveranciers met onvoldoende kennis, hierdoor is de grote installbase het perfecte target.
Het zijn CVE's, geen manke configs. Het is zoals een tank verkopen voor op het slagveld met een veel te dun pantser. Enkel te wijten aan slordig werk bij Fortigate zelf. Vals veiligheidsgevoel dus.
Dat is uw meening, of heeft u een bron waar dit als feit word benoemd? Gezien deze CVE ook is ondekt door een threat hunter. Blijft mijn vraag als hierboven genoemd uit staan. Wij weten niet of Fortinet gewoon meer partije als threat hunter inhuurd of in-house goede threat hunters heeft tegen over andere leveranciers.
Het feit dat fortinet zoveel CVE laat mij eerder denken dat andere partije meer fouten maken maar daar niet van bewust zijn.
Juist! Cisco, Aruba, Palo Alto en Juniper hebben nooit CVE’s!!
/s
Maar de vraag is echter "Heeft Fortinet zulke goed threat hunters? en andere organisaties niet" of "Blunderd fortinet zo veel"
Ik denk dat het mede te maken heeft met het feit dat heel veel fortinet systemen neergezet worden door leveranciers met onvoldoende kennis, hierdoor is de grote installbase het perfecte target.
Het zijn CVE's, geen manke configs. Het is zoals een tank verkopen voor op het slagveld met een veel te dun pantser. Enkel te wijten aan slordig werk bij Fortigate zelf. Vals veiligheidsgevoel dus.
Dat is uw meening, of heeft u een bron waar dit als feit word benoemd? Gezien deze CVE ook is ondekt door een threat hunter. Blijft mijn vraag als hierboven genoemd uit staan. Wij weten niet of Fortinet gewoon meer partije als threat hunter inhuurd of in-house goede threat hunters heeft tegen over andere leveranciers.
Het feit dat fortinet zoveel CVE laat mij eerder denken dat andere partije meer fouten maken maar daar niet van bewust zijn.
Met meer dan 20 jaar ervaring bij één van de top 5 MSSP's wereldwijd kan ik u vertellen dat de workload door dergelijke buggy software binnen m'n team momenteel dramatisch hoog ligt. En dat is niet omdat een of andere threathunter vriendelijk een probleempje meldt, wel omdat die crappy code effectief misbruikt wordt. Andere security vendoren in het portfolio doen het gelukkig beter. Goedkoper blijkt helaas duurder op termijn. En als je effectief een bron wilt, raadpleeg dat de CVE DB's en laat eens wat queries erop los. ;-)
Meer CVE's door threat hunters gevonden, dan bij andere leveranciers.
"Vriendelijke een probleempje meld." U heeft duidelijk geen idee wat de beste mensen doen en dat ze daar grof voor betaald worden.
"Goedkoop is duur koop" Volgens mij is Fortinet een van de duurste op Palo Alto na uiteraard.
3 van uw 4 argumenten zijn dus uit de lucht gegrepen. Dat laat eerder denken dat die 20 jaar ervaring als support medewerker is of ook uit de lucht gegrepen.
Maar u mag uiteraard uw persoonlijke meening hebben, Echter zouden sterke argumenten en bronnen meer waardevoll zijn.
schrok enorm van de typevauten in de code en met name in osfp en bgp...
alsof digibetische indiers de code geklopt hadden...
van die mensen die engels praten maar niet verstaanbaar zijn als je niet uit engeland of india komt.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.