image

Fortinet waarschuwt voor kritiek FortiOS-lek dat mogelijk al wordt misbruikt

vrijdag 9 februari 2024, 09:53 door Redactie, 17 reacties

Fortinet waarschuwt organisaties voor een nieuwe kritieke kwetsbaarheid in FortiOS, waardoor het mogelijk is om kwetsbare firewalls, vpn-systemen en andere netwerkapparaten zonder authenticatie op afstand over te nemen. Mogelijk wordt er al misbruik van het lek gemaakt. De Australische overheid roept op om de beschikbaar gestelde beveiligingsupdate te installeren en de SSL VPN-functionaliteit uit te schakelen.

FortiOS is het besturingssysteem van Fortinet dat op allerlei netwerkapparaten draait, zoals firewalls en vpn-systemen. Een nieuwe kwetsbaarheid aangeduid als CVE-2024-21762 maakt het mogelijk voor aanvallers om zonder authenticatie op afstand code en commando's op kwetsbare apparatuur uit te voeren. De enige vereiste is de mogelijkheid om een HTTP-request naar het apparaat te sturen.

De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.6. In het beveiligingsbulletin stelt Fortinet dat er mogelijk al misbruik van de kwetsbaarheid wordt gemaakt, maar verdere details zijn niet gegeven. Naast het installeren van de beschikbaar gestelde update kunnen organisaties als workaround ook de SSL VPN-functionaliteit in FortiOS uitschakelen. Het Australische Cyber Security Centre (ACSC) adviseert zowel het installeren van de update als het uitschakelen van de VPN-functie.

Reacties (17)
09-02-2024, 09:55 door Bitje-scheef
Iemand schreef al Fartigate...die term wordt aardig acceptabel.
09-02-2024, 10:10 door Anoniem
Dit is niet het enige wat opgelost is, er is nog een exploit opgelost met een score van 9.8 op de fgfmd deamon met CVE-2024-23113. Ik zag gisteren de updates voorbij komen zonder details in de releasenotes, watvoor mij voldoende informatie was om deze patches direct te installeren.

https://fortiguard.fortinet.com/psirt/FG-IR-24-029
09-02-2024, 10:24 door Anoniem
Kan dit "beveiliginsbedrijf" zichzelf nog wel serieus nemen. Afgelopen paar jaar al tig keer lek... Je kunt nog beter PFsense installeren dan deze meuk LoL
09-02-2024, 10:33 door Anoniem
Gaat weer lekker deze week met Fortinet, de ene na de anderer lek. Overheden lopen altijd te klagen op huawai, maar persoonlijk zou ik Fortinet nog minder vertrouwen, want dan is het niet alleen china die je systeem in kan, maar de hele wereld.
09-02-2024, 10:35 door Anoniem
Door Anoniem: Kan dit "beveiliginsbedrijf" zichzelf nog wel serieus nemen. Afgelopen paar jaar al tig keer lek... Je kunt nog beter PFsense installeren dan deze meuk LoL

Het feit dat ze al meerdere keren hard coded wachtwoorden en bewust backdoors hebben ingebouwd in hun systemen zou ik zeggen nee.
09-02-2024, 11:12 door Anoniem
Door Bitje-scheef: Iemand schreef al Fartigate...die term wordt aardig acceptabel.

breaking news: ze gaan naam veranderen in Fornicate
09-02-2024, 11:32 door Anoniem
Door Anoniem: Gaat weer lekker deze week met Fortinet, de ene na de anderer lek. Overheden lopen altijd te klagen op huawai, maar persoonlijk zou ik Fortinet nog minder vertrouwen, want dan is het niet alleen china die je systeem in kan, maar de hele wereld.

Lek van de week ging om een uit 2022...............

Alle producten zijn overigens lek:
https://www.cvedetails.com/vulnerability-list/vendor_id-12836/product_id-26167/Paloaltonetworks-Pan-os.html
https://www.cvedetails.com/vulnerability-list/vendor_id-136/opec-1/Checkpoint.html
https://www.cvedetails.com/vulnerability-list/vendor_id-11749/product_id-21763/Pfsense-Pfsense.html
09-02-2024, 12:29 door Anoniem
Door Anoniem:
Door Anoniem: Gaat weer lekker deze week met Fortinet, de ene na de anderer lek. Overheden lopen altijd te klagen op huawai, maar persoonlijk zou ik Fortinet nog minder vertrouwen, want dan is het niet alleen china die je systeem in kan, maar de hele wereld.

Lek van de week ging om een uit 2022...............

Zero-days kunnen zijn gebruikt bij die aanval zonder dat iemand het heeft opgemerkt.

Antivirusproducten en packet analyzers zijn vaak kwetsbaar. Dat is voorspelbaar omdat er data wordt uitgepakt uit een groot aantal formats. Die formats zijn soms al heel oud en sommige zitten onveilig in elkaar of kunnen makkelijk worden misbruikt. Het draait vooral om het checken van de input en die niet klakkeloos voor correct aannemen.
09-02-2024, 13:00 door Anoniem
Ik ben altijd al een fan geweest van Fortinet.
Eigen CPU's (inc ASIC), ipv afgedankte intel rommel die ik nog niet in een chromebook zou willen hebben draaien, sterker nog, ik heb een oude chromebook waar dezelfde proc in zit als in een nieuwe router van Cisco...

Anyway, deze hoeveelheid CVE's met een score van 9+ zijn gewoonweg niet acceptabel.
Dit moet gewoon niet kunnen.
Dus OF de afgelopen jaar is China/Rusland ineens een factor 100 meer exploits gaan vinden, of de backdoors die door de 5 eyes gedwongen zijn zijn nogal brak geimplementeerd.

Maar hoe dan ook, voor mij als gebruiker is het STRAKS een win-win situatie... China/Rusland hackers maken mijn software veiliger, omdat domme fouten snel afgestraft worden, en de backdoors die de VS, Engeland en Australie erin laten bouwen worden beter verstopt.

Nu is het even door de zure CVE heen bijten...
09-02-2024, 14:09 door Anoniem
Dat een overheid en defensie op externe partijen "vertrouwd" zegt genoeg over hun opsec... Er meer geld insteken heeft geen zin als men niet bereidwillig is een heel nieuwe weg in te slaan.
09-02-2024, 16:50 door Anoniem
Door Anoniem: Kan dit "beveiliginsbedrijf" zichzelf nog wel serieus nemen. Afgelopen paar jaar al tig keer lek... Je kunt nog beter PFsense installeren dan deze meuk LoL
Ik gebruik openvpn ssl-vpn
09-02-2024, 23:19 door Anoniem
Door Bitje-scheef: Iemand schreef al Fartigate...die term wordt aardig acceptabel.
Beseffen mensen niet dat er zo veel CVE gevonden worden omdat er zo veel producten in omloop zijn?
fortigate heeft een market share van 21% waar door het de grootste vendor is.
Meer producten = meer actors = meer onderzoekers = meer CVE's.

Ja iedereen kan naar Palo overstappen maar daar willen de meeste bedrijven en mensen niet voor betalen.
10-02-2024, 01:03 door Anoniem
Ik heb gewoon met netwerkkabel doorgeknipt.........
10-02-2024, 18:43 door Anoniem
Door Anoniem:
Door Bitje-scheef: Iemand schreef al Fartigate...die term wordt aardig acceptabel.
Beseffen mensen niet dat er zo veel CVE gevonden worden omdat er zo veel producten in omloop zijn?
fortigate heeft een market share van 21% waar door het de grootste vendor is.
Meer producten = meer actors = meer onderzoekers = meer CVE's.

Ja iedereen kan naar Palo overstappen maar daar willen de meeste bedrijven en mensen niet voor betalen.
Je maakt een beginnersfout. Hoe gaat niet om het aantal cve’s maar om een kritieke cve!
Ook al is het alternatief gratis dan nog stappen mensen niet over. Voorbeelden genoeg.
11-02-2024, 03:21 door Anoniem
FortiFarce, FortiFlaw, FortiBug, FortiGlitch, FortiFail, FortiFried, FortiFlop, FortiCrap. Volgens mij kunnen ze beter poffertjes gaan verkopen, is ook vette troep maar laat ieder geval niet zo'n vieze smaak achter.
Vraag me af hoe lang en hoeveel ze Gartner al betalen om maar in dat fantastische vendor kwadrant te blijven staan, met hun eindeloze lijst aan FortiFuckups.
11-02-2024, 13:25 door Anoniem
Door Anoniem:
Door Bitje-scheef: Iemand schreef al Fartigate...die term wordt aardig acceptabel.
Beseffen mensen niet dat er zo veel CVE gevonden worden omdat er zo veel producten in omloop zijn?
fortigate heeft een market share van 21% waar door het de grootste vendor is.
Meer producten = meer actors = meer onderzoekers = meer CVE's.

Ja iedereen kan naar Palo overstappen maar daar willen de meeste bedrijven en mensen niet voor betalen.
En ik wil niet betalen voor een Fortigate, in het verleden getest en veel te duur - en te slecht bevonden.
Je moet ook niet op één paard wedden, liever een router/firewall waarbij ik eigen rules kan maken, een aparte UTM en een aparte VPN gateway, als je wilt alles op basis van open-source. Nooit alles met één device willen regelen.
12-02-2024, 17:36 door Anoniem
Door Anoniem: Dat een overheid en defensie op externe partijen "vertrouwd" zegt genoeg over hun opsec... Er meer geld insteken heeft geen zin als men niet bereidwillig is een heel nieuwe weg in te slaan.

Er is geen goede personeel te vinden of te duur
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.