FortiManager Issue

Problembeschreibung:
Eine fehlende Authentifizierung für eine kritische Funktion [CWE-306] im FortiManager fgfmd Daemon kann es einem entfernten, nicht authentifizierten Angreifer mit einem gültigen Fortinet-Zertifikat, das von einem Fortinet-Gerät oder einer VM extrahiert wurde, ermöglichen, beliebigen Code oder Befehle über speziell gestaltete Anfragen auszuführen.
Auswirkung:
Unautorisierte Ausführung von Code oder Befehlen
Details:
Ein entfernter, nicht authentifizierter Angreifer kann Berechtigungen umgehen und unautorisierte Befehle ausführen, was den Download von FortiManager-Konfigurationen ermöglichen kann, einschliesslich derjenigen der verwalteten FortiGate-Geräte.

FG-IR: FG-IR-24-423
Bedrohungslevel:

• Severity High
• Die Bedrohung wird mit einem CVssv3 Score von 9.8 eingestuft!

Betroffene Systeme:

• FortiManager Versionen 7.6.0 und älter
• FortiManager Versionen 7.4.4 und älter
• FortiManager Versionen 7.2.7 und älter
• FortiManager Versionen 7.0.12 und älter
• FortiManager Versionen 6.4.14 und älter

Lösung:
Auf folgende Versionen kann upgedatet werden, damit diese Sicherheitslücke geschlossen wird:

• Upgraden auf die FortiManager Version 7.6.1 oder höher → Release Notes auf dem Wiki
• Upgraden auf die FortiManager Version 7.4.5 oder höher → Release Notes auf dem Wiki
• Upgraden auf die FortiManager Version 7.2.8 oder höher → Release Notes auf dem Wiki
• Upgraden auf die FortiManager Version 7.0.13 oder höher → Release Notes auf dem Wiki
• Upgraden auf die FortiManager Version 6.4.15 oder höher → Release Notes auf dem Wiki

Diese Versionen wurden kürzlich ausgerollt.

Workarounds:
Auf dem FortiManager der Versionen <=7.0.12, <=7.2.5 oder <=7.4.3 (ausser 7.6.0) kann mit folgender Konfiguration verhindert werden, dass unbekannte Geräte sich versuchen zu registrieren:

Konfiguration über die CLI:

config system global set fgfm-deny-unknown enable end

Wenn du diese Einstellung aktivierst, verhindert FortiManager, dass sich ein FortiGate-Gerät registriert, falls dessen Seriennummer nicht in der Geräteliste hinterlegt ist, selbst wenn das Modellgerät und der vorab geteilte Schlüssel (PSK) übereinstimmen.

Für alle FortiManager-Versionen kannst du Abhilfemassnahmen ergreifen, indem du lokale Firewallregeln (Local-In-Regeln) erstellst, um die IP-Adressen der FortiGate-Geräte, die eine Verbindung herstellen dürfen, auf eine Freigabeliste zu setzen. Alternativ kann dies auch über eine externe Firewall erfolgen.

Um eine lokale Firewallregel auf dem FortiManager zu konfigurieren, die Verbindungen von einem bekannten Subnetz, z. B. 198.18.250.0/24 (Verwaltungsnetzwerk), sowie der spezifischen IP-Adresse 10.250.17.2 (FortiGate-Gerät) zulässt, verwende folgende Regeln:

Konfiguration über die CLI:

config system local-in-policy edit 1 set action accept set src 198.18.250.0/24 set dport 443 <--- WebGui Adminport next edit 2 set action accept set src 198.18.250.0/24 set dport 22 <--- SSH Adminport next edit 3 set action accept set src 10.250.17.2/32 set dport 541 <--- Erlaube nur TCP/541 von bekannten FortiGate-IP-Adressen. next edit 4 next end Es ist wichtig zu beachten, dass die Regel 4 im Beispiel alle Einstellungen auf "Standard" hat. Dadurch wird diese zu einer expliziten Drop-Regel, die den Zugriff von allen anderen IP-Adressen blockiert.

Weitere Informationen betreffend Local-In-Regeln auf dem FortiManager findet man im CLI Guide:

• https://docs.fortinet.com/document/fortimanager/7.6.0/cli-reference/68140/local-in-policy

Weitere Informationen findet man unter folgenden externen Artikeln:
PSIRT - FortiGuard:

add 14.10.2024 - 4Tinu

Netzplan

Authentication

Pre-shared Key definieren

IKE Version

Version 2

Phase 1 Proposal

Alogrithms: AES256-SHA256 DH-Group 15

Phase 1 Key Lifetime

86400 Sekunden

Phase 2 Proposal

Alogrithms: AES256-SHA512 / PFS-DH-Group 15

Phase 2 Key Lifetime

3600 Sekunden

Konfigurieren des VPN-Tunnels:
Um auf der Checkpoint einen VPN-Tunnel zu konfigurieren kann auf folgendes Menü angewählt werden:

VPN -> VPN Sites ->

Netzwerk-Parameter:

1. Auf das TAB Remote Site gehen
2. Site name: Hier wird der Name des VPN-Tunnels definiert
3. Bei Conection type auf Host Name or IP address setzen
4. IP address anwählen und im Feld die public IP-Adresse der FortiGate eingeben (198.18.0.153)
5. Behind static NAT ist die NAT Traversal-Einstellung

Authentication konfigurieren:

1. Pre-shared secret anwählen (entspricht der Option Pre-shared KEY auf der Fortigate)
2. im Feld Password den selben Key eingeben, welcher bereits auf der FortiGate definiert wurde
3. mittels confirm den Key nochmals eingeben

Remote Site Encryption Domain konfigurieren
Die Remote Site Encryption Domain entspricht dem lokalen Netz auf der FortiGate bei den Selektoren.
Zuerst muss das Netz oder der Host definiert werden. Dafür auf den klicken.
Es öffnet sich folgendes Fenster:

1. den Type auf Network stellen
2. Network address Die Netzadresse angeben (ohne Subnetzmaske), was in unserem Fall das Netzwerk auf der FortiGate 10.10.161.0 ist
3. Subnetmask Die Subnetzmaske des Netzes angeben: 255.255.255.0
4. Object name Hier wird der Name definiert, wie das Objekt dann angewählt werden kann
5. mit das Objekt erstellen

Mit kann das Adress-Objekt zu der Encryption Domain hinzugefügt werden.

Encryption für Phase 1 und Phase 2 konfigurieren:

1. das TAB Encryption anwählen
2. Encryption settings auf custom stellen
3. IKE (Phase 1)
   1. Encryption auf AES-256 konfigurieren, alle anderen Parameter deaktivieren
   2. Authentication auf SHA256 konfigurieren - alle anderen Parameter ebenfalls deaktivieren
   3. Diffie-Hellmann group support setzen wir auf Group 14 (2048 bit)
   4. Renegotiate every: wird auf 1440 Minuten gesetzt (auf der FortiGate ist 86400 Sekunden eingestellt, was 1440 Minuten entspricht)
4. IPSec (Phase2)
   1. Encryption auf AES-256 konfigurieren, alle anderen Parameter deaktivieren
   2. Authentication auf SHA256 konfigurieren, alle anderen Parameter ebenfalls deaktivieren
   3. Enable Perfect Forward Secrecy (PFS) aktivieren
   4. Diffie-Hellmann group support setzen wir auf Group 14 (2048 bit)
   5. Renegotiate every: wird auf 3600 Sekunden gesetzt (auf der FortiGate haben wir diesen Parameter auf 3600s konfiguriert)

Advanced Optionen konfigurieren:

1. TAB Advanced anwählen
2. Bei den Settings die Option Remote Gateway is a Check Point Security Gateway deaktivieren
3. unter Encryption method den Parameter auf IKEv2 stellen.

Konfigurieren eines Netzwerk Objektes:

1. User & Objects anwählen
2. Network Objects auswählen

Im Editor-Fenster folgendes konfigurieren:

1. Type auf Network einstellen
2. Network address: Die Netzwerk-Adresse ohne Netzmaske eintragen
3. Subnet mask: Die Subnetzmaske des Netzes eintragen
4. Object name: Name des Adress-Objektes eintragen
5. mit dem Button wird das Objekt erstellt

Konfigurieren der Policy:
Nun gilt es noch die Firewall Regeln zu konfigurieren:

1. Menu Access Policy anwählen
2. Policy auswählen
3. unter dem Menu Incoming, Internal and VPN traffic mit wird eine neue VPN-Regel erstellt

1. Source und Destination, wie auch die Services anwählen.
2. Das Feld Match only for encrypted traffic auswählen, so wird sichergestellt, dass diese Regel für den verschlüsselten Traffic gilt.
3. mit wird die Regel erstellt und aktiv

1. das Selbe in grün noch für die Gegenrichtung falls dies vom Setup erforderlich ist

Konfigurieren des VPN-Tunnels:

Netzwerkeinstellungen:

1. Name des VPN-Tunnels definieren (es wird ein Tunnel-Interface mit diesem Namen gebildet)
2. Bei Remote Gateway den Typ auf Static IP Address stellen
3. Im Feld IP Address wird die public IP-Adresse der Checkpoint eingetragen (198.18.0.151)
4. Bei Interface wird das ausgehende Interface (meistens WAN) angegeben. Auf diesem Interface wird das Tunnel-Interface dann als Subinterface gebildet
5. NAT Traversal ist zu definieren, falls noch ein NAT Device zwischen der FortiGate und der Checkpoint vorhanden ist.

Authentication konfigurieren:

1. Method Auf Pr-shared Key einstellen
2. Im Feld Pre-shared Key einen komplexen, nicht nachvollziehbaren Key konfigurieren (dieser Key wird auf der Checkpoint dann auch benötigt)
3. In unserem Beispiel werden wir mit IKE Version 2 arbeiten. Dementsprechend den Parameter auf 2 einstellen

Phase 1 Parameter konfigurieren:

1. Encryption auf AES256 und Authentication auf SHA256 konfigurieren
2. Alle anderen Encryption- und Authentications-Parameter entfernen
3. Die Diffie-Hellmann Group wird auf 14 eingestellt
4. Der Parameter Key Lifetime (seconds) auf 86400 (1440 Minuten) stellen

Phase 2 Selektoren konfigurieren:

In diesem Beispiel zeigen wir, wie man den Selektor für 10.10.161.0/24 zu 10.10.151.0/24 konfiguriert:

1. Name in diesem Feld kann ein Name für den Selektor definiert werden
2. Local Address Das Netz welches bei der Fortigate erreicht werden soll. Typ auf Subnet stellen und Adresse: 10.10.161.0/24 konfigurieren
3. Remote Address Das Netz welches wir hinter der Checkpoint erreichen wollen. Typ auf Subnet stellen und Adresse 10.10.151.0/24 konfigurieren
4. Unter dem Menüpunkt Advanced können die Phase 2 Proposal konfiguriert werden
5. Encryption auf AES256 und Authentication auf SHA256 stellen. Alle anderen Encryption- und Authentications-Parameter entfernen
6. Perfect Forward Secrecy (PFS) aktivieren
7. Die Difie-Hellman Group auf 14 stellen
8. Key Lifetime auf Second stellen und dann 3600 Sekunden einstellen (dies ist nicht der default Wert auf der FortiGate)

Konfigurieren der Routen:
Auf der FortiGate muss das Netz der Remote Seite(10.10.151.0/24) in den IPSec-Tunnel geroutet werden. Dabei zeigt die Route auf das Tunnel-Interface (vpn_to_CP_151). Damit bei einem Unterbruch des Tunnels der Traffic nicht über die default Route ins Internet geroutet wird, sollte eine Blackhole Route konfiguriert werden. Mehr Details dazu im Artikel : Was ist eine Blackhole Route?

Die Routen werden wie folgt konfiguriert: Menu: Network -> Static Routes ->

Blackhole Route mit Distanz 254:

Konfigurieren der Policies:
Es braucht mindestens eine Policy auf der FortiGate. Damit der Traffic bidirektional durch den Tunnel geht, empfiehlt es sich eine Regel in jede Richtung zu konfigurieren. Dabei ist die Kommunikation zwischen dem VPN-Tunnel Interface (vpn_cp-forti) und dem internen Interface (internal2).

Menu : Policy & Objects -> IPv4 Policy ->

Die ganze Policy noch bei bedarf gegengleich konfigurieren (Source Interface / Netz und Destinations Interface / Netz) Dabei kann die Clone Reverse Funktion benutzt werden.

Komplettes Regelsetup:

VPN Phase 1 konfigurieren:

config vpn ipsec phase1-interface
edit "vpn_to_CP_151"
        set interface "wan1"
        set ike-version 2
        set peertype any
        set net-device disable
        set proposal aes256-sha256
        set dhgrp 14
        set remote-gw 198.18.0.151
        set psksecret "Hier_einen_komplexen_Key_eingeben"
    next
end

VPN Phase 2 konfigurieren:

config vpn ipsec phase2-interface
    edit "p2-vpn_to_lab-0062-10.10.162.0-24"
        set phase1name "vpn_to_lab-0062"
        set proposal aes256-sha256
        set dhgrp 14
        set auto-negotiate enable
        set src-subnet 10.10.161.0 255.255.255.0
        set dst-subnet 10.10.162.0 255.255.255.0
    next
end

Routen konfigurieren:

config router static
    edit 2
        set dst 10.10.151.0 255.255.255.0
        set device "vpn_to_CP_151"
    next
    edit 3
        set dst 10.10.151.0 255.255.255.0
        set distance 254
        set comment "blackhole Route - CP Remote Netz"
        set blackhole enable
    next
end

Adress Objekte für Policies konfigurieren:

config firewall address
    edit "net_remoteVPN-10.10.151.0-24"
        set comment "Remote Netz -VPN Checkpoint"
        set color 10
        set subnet 10.10.151.0 255.255.255.0
    next
    edit "net_ul-10.10.161.0-24"
        set color 3
        set subnet 10.10.161.0 255.255.255.0
    next

end

Policy konfigurieren:

config firewall policy
    edit 5
        set name "I_vpn_CP_151->10.0.161.0-24"
        set srcintf "vpn_to_CP_151"
        set dstintf "internal2"
        set srcaddr "net_remoteVPN-10.10.151.0-24"
        set dstaddr "net_ul-10.10.161.0-24"
        set action accept
        set schedule "always"
        set service "ALL"
        set logtraffic all
    next
    edit 6
        set name "O_vpn_10.10.161.0-24->CP_151"
        set srcintf "internal2"
        set dstintf "vpn_to_CP_151"
        set srcaddr "net_ul-10.10.161.0-24"
        set dstaddr "net_remoteVPN-10.10.151.0-24"
        set action accept
        set schedule "always"
        set service "ALL"
        set logtraffic all
    next
end