|
|
(26 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt) |
Zeile 1: |
Zeile 1: |
| Fortigate:Support-Alerts | | Fortigate:Support-Alerts |
|
| |
|
| [[Category:Fortinet]] | | [[Category:Fortinet]] |
Zeile 53: |
Zeile 53: |
| | style="width:100px;background-color: #f2f79d;vertical-align:top"| <span style="color:#ffbb98">[[File:vulnerability.svg|100px|link=]]</span> | | | style="width:100px;background-color: #f2f79d;vertical-align:top"| <span style="color:#ffbb98">[[File:vulnerability.svg|100px|link=]]</span> |
| | | | | |
| ===FortiOS & FortiProxy - administrator cookie leakage - CVE-2023-41677=== | | ===FortiManager Missing authentication in fgfmsd - CVE-2024-47575=== |
| [[Datei:new.svg|40px|link=]] | | [[Datei:new.svg|40px|link=]] |
| Offizieller Link: https://www.fortiguard.com/psirt/FG-IR-23-493
| |
| ---- | | ---- |
| <big>'''Problembeschreibung:'''</big><br> | | <big>'''Problembeschreibung:'''</big><br> |
| Mögliche Sicherheitslücke beim Administrator-Cookie
| | Eine fehlende Authentifizierung für eine kritische Funktion [CWE-306] im FortiManager <code> fgfmd Daemon </CODE> kann es einem entfernten, |
| | | nicht authentifizierten Angreifer mit einem gültigen Fortinet-Zertifikat, |
| <big>'''Bedrohungslevel:'''</big><br> | | das von einem Fortinet-Gerät oder einer VM extrahiert wurde, ermöglichen, beliebigen Code oder Befehle über speziell gestaltete Anfragen |
| * Severity '''High'''
| | auszuführen.</br> |
| * Die Bedrohung wird mit einem CVSSv3 Score von '''7.5''' eingestuft!
| | '''Auswirkung:'''</br> Unautorisierte Ausführung von Code oder Befehlen</br> |
| | | '''Details:'''</br> Ein entfernter, nicht authentifizierter Angreifer kann Berechtigungen umgehen und unautorisierte Befehle ausführen, was den Download von FortiManager-Konfigurationen ermöglichen kann, einschliesslich derjenigen der verwalteten FortiGate-Geräte. |
| <big>'''Betroffene Systeme:'''</big><br>
| |
| * FortiOS 7.4.0 bis 7.4.1 [[File:FortiOS_74.svg|20px|link=]]
| |
| * FortiOS 7.2.0 bis 7.2.6 [[File:FortiOS_72.svg|20px|link=]]
| |
| * FortiOS 7.0.0 bis 7.0.12 [[File:FortiOS_70.svg|20px|link=]]
| |
| * FortiOS 6.4.0 bis 6.4.14 [[File:FortiOS_64.svg|20px|link=]]
| |
| * FortiOS 6.2.0 bis 6.2.15 [[File:FortiOS_62.svg|20px|link=]]
| |
| * FortiOS 6.0 alle Versionen
| |
| ----
| |
| * FortiProxy 7.4.0 bis 7.4.1
| |
| * FortiProxy 7.2.0 bis 7.2.7
| |
| * FortiProxy 7.0.0 bis 7.0.13
| |
| * FortiProxy 2.0 alle Versionen
| |
| * FortiProxy 1.2 alle Versionen
| |
| * FortiProxy 1.1 alle Versionen
| |
| * FortiProxy 1.0 alle Versionen
| |
| | |
| <big>'''Lösung:'''</big>
| |
| | |
| Auf folgende Versionen kann upgedatet werden, damit diese Sicherheitslücke geschlossen wird:
| |
| * FortiOS 7.4.2 oder höher [[File:FortiOS_74.svg|20px|link=]]
| |
| * FortiOS 7.2.7 oder höher [[File:FortiOS_72.svg|20px|link=]]
| |
| * FortiOS 7.0.13 oder höher [[File:FortiOS_70.svg|20px|link=]]
| |
| * FortiOS 6.4.15 oder höher [[File:FortiOS_64.svg|20px|link=]]
| |
| * FortiOS 6.2.16 oder höher [[File:FortiOS_62.svg|20px|link=]] ⇒ End of Support, falls möglich auf eine supportete Version upgraden
| |
| * FortiOS 6.0 alle Versionen -> auf eine supportete Version upgraden
| |
| | |
| * FortiProxy 7.4.2 oder höher
| |
| * FortiProxy 7.2.8 oder höher
| |
| * FortiProxy 7.0.14 oder höher
| |
| * FortiProxy 2.0 alle Versionen -> auf eine supportete Version upgraden
| |
| * FortiProxy 1.2 alle Versionen -> auf eine supportete Version upgraden
| |
| * FortiProxy 1.1 alle Versionen -> auf eine supportete Version upgraden
| |
| * FortiProxy 1.0 alle Versionen -> auf eine supportete Version upgraden
| |
| | |
| Beachte immer den Upgradepfad: https://docs.fortinet.com/upgrade-tool/fortigate
| |
| {| class="wikitable" style="width:850px"
| |
| |-
| |
| | style="width:50px;background-color: #276ef1;"| <span>[[File:info.svg|50px|link=]]</span>
| |
| | style="background-color: #A9C5F9"|
| |
| '''ACHTUNG es gibt FortiOS Versionen die nur mit einem aktivem FortiCare benutzt werden können | |
| | |
| <small>Wir haben natürlich auf allen Geräten ein aktives FortiCare :-)</small>
| |
| |}
| |
| ----
| |
| <small>add 10.04.2024- CHri5</small>
| |
| |}
| |
| | |
| {| class="wikitable" style="width:100%"
| |
| |-
| |
| | style="width:100px;background-color: #f2f79d;vertical-align:top"| <span style="color:#ffbb98">[[File:vulnerability.svg|100px|link=]]</span>
| |
| |
| |
| | |
| ===[FortiClient Linux] Remote Code Execution due to dangerous nodejs configuration - CVE-2023-45590===
| |
| [[Datei:new.svg|40px|link=]]
| |
| Offizieller Link: https://www.fortiguard.com/psirt/FG-IR-23-087
| |
| ----
| |
| <big>'''Problembeschreibung:'''</big><br>
| |
| Unauthentisierter Angreifer kann schadhaften Code ausführen, nachdem FortiClientLinux User zu einer schadhaften Website geleitet wurde
| |
|
| |
|
| | FG-IR: FG-IR-24-423</br> |
| <big>'''Bedrohungslevel:'''</big><br> | | <big>'''Bedrohungslevel:'''</big><br> |
| * Severity '''Critical''' | | * Severity '''Critical''' |
| * Die Bedrohung wird mit einem CVSSv3 Score von '''9.4''' eingestuft!!! | | * Die Bedrohung wird mit einem CVSSv3 Score von '''9.8''' eingestuft! |
| | |
| <big>'''Betroffene Systeme:'''</big><br> | | <big>'''Betroffene Systeme:'''</big><br> |
| * FortiClientLinux 7.2.0 [[File:FortiOS_72.svg|20px|link=]] | | * FortiManager 7.6.0 und älter |
| * FortiClientLinux 7.0.6 bis 7.0.10 [[File:FortiOS_70.svg|20px|link=]] | | * FortiManager 7.4.0 bis 7.4.4 |
| * FortiClientLinux 7.0.3 bis 7.0.4 [[File:FortiOS_70.svg|20px|link=]] | | * FortiManager 7.2.0 bis 7.2.7 |
| | * FortiManager 7.0.0 bis 7.0.12 |
| | * FortiManager 6.4.0 bis 6.4.14 |
| | * FortiManager 6.2.0 bis 6.2.12 |
|
| |
|
| Auf folgende Versionen kann upgedatet werden, damit diese Sicherheitslücke geschlossen wird:
| | * FortiManager Cloud 7.6 ist nicht betroffen |
| * FortiClientLinux 7.2.1 oder höher [[File:FortiOS_72.svg|20px|link=]] | | * FortiManager Cloud 7.4.1 bis 7.4.4 |
| * FortiClientLinux 7.0.11 oder höher [[File:FortiOS_70.svg|20px|link=]] | | * FortiManager Cloud 7.2.1 bis 7.2.7 |
| ----
| | * FortiManager Cloud 7.0.1 bis 7.0.12 |
| <small>add 10.04.2024- CHri5</small>
| | * FortiManager Cloud 6.4 sind alle Versionen betroffen |
| |}
| |
| | |
| {| class="wikitable" style="width:100%"
| |
| |-
| |
| | style="width:100px;background-color: #f2f79d;vertical-align:top"| <span style="color:#ffbb98">[[File:vulnerability.svg|100px|link=]]</span>
| |
| |
| |
| | |
| ===FortiClientMac - Lack of configuration file validation - CVE-2023-45588 & CVE-2024-31492===
| |
| [[Datei:new.svg|40px|link=]]
| |
| Offizieller Link: https://www.fortiguard.com/psirt/FG-IR-23-345
| |
| ----
| |
| <big>'''Problembeschreibung:'''</big><br>
| |
| FortiClientMac Installer könnte Ausführung eines schadhaften Codes/Commands erlauben, u.a. in /tmp bevor Installations-Prozess gestartet wird
| |
| | |
| <big>'''Bedrohungslevel:'''</big><br>
| |
| * Severity '''High'''
| |
| * Die Bedrohung wird mit einem CVSSv3 Score von '''7.8''' eingestuft!
| |
| | |
| <big>'''Betroffene Systeme:'''</big><br>
| |
| * FortiClientMac 7.2.0 bis 7.2.3 [[File:FortiOS_72.svg|20px|link=]] | |
| * FortiClientMac 7.0.6 bis 7.0.10 [[File:FortiOS_70.svg|20px|link=]] | |
|
| |
|
| | <big>'''Lösung:'''</big></br> |
| Auf folgende Versionen kann upgedatet werden, damit diese Sicherheitslücke geschlossen wird: | | Auf folgende Versionen kann upgedatet werden, damit diese Sicherheitslücke geschlossen wird: |
| * FortiClientMac 7.2.4 oder höher [[File:FortiOS_72.svg|20px|link=]] | | * Upgraden auf die FortiManager Version 7.6 upgraden auf die Version '''7.6.1''' oder höher → [[FortiManager:FAQ#Wo_finde_ich_die_Release_Notes_für_den_FortiManager?|Release Notes auf dem Wiki]] |
| * FortiClientMac 7.0.11 oder höher [[File:FortiOS_70.svg|20px|link=]] | | * Upgraden auf die FortiManager Version 7.4 upgraden auf die Version '''7.4.5''' oder höher → [[FortiManager:FAQ#Wo_finde_ich_die_Release_Notes_für_den_FortiManager?|Release Notes auf dem Wiki]] |
| ----
| | * Upgraden auf die FortiManager Version 7.2 upgraden auf die Version '''7.2.8''' oder höher → [[FortiManager:FAQ#Wo_finde_ich_die_Release_Notes_für_den_FortiManager?|Release Notes auf dem Wiki]] |
| <small>add 10.04.2024- CHri5</small>
| | * Upgraden auf die FortiManager Version 7.0 upgraden auf die Version '''7.0.13''' oder höher → [[FortiManager:FAQ#Wo_finde_ich_die_Release_Notes_für_den_FortiManager?|Release Notes auf dem Wiki]] |
| |} | | * Upgraden auf die FortiManager Version 6.4 upgraden auf die Version '''6.4.15''' oder höher → [[FortiManager:FAQ#Wo_finde_ich_die_Release_Notes_für_den_FortiManager?|Release Notes auf dem Wiki]] |
| | * Upgraden auf die FortiManager Version 6.2 upgraden auf die Version '''6.2.13''' oder höher → [[FortiManager:FAQ#Wo_finde_ich_die_Release_Notes_für_den_FortiManager?|Release Notes auf dem Wiki]] |
|
| |
|
| {| class="wikitable" style="width:100%"
| | * Upgraden auf die FortiManager Cloud Version 7.4 upgraden auf die Version 7.4.5 oder höher |
| |-
| | * Upgraden auf die FortiManager Cloud Version 7.2 upgraden auf die Version 7.2.5 oder höher |
| | style="width:100px;background-color: #f2f79d;vertical-align:top"| <span style="color:#ffbb98">[[File:vulnerability.svg|100px|link=]]</span>
| | * Upgraden auf die FortiManager Cloud Version 7.0 upgraden auf die Version 7.0.5 oder höher |
| |
| | * Upgraden auf die FortiManager Cloud Version 6.4 auf eine höhere GA Version upgraden/migrieren |
|
| |
|
| ===FortiSandbox - OS command injection on endpoint - CVE-2024-21755 & CVE-2024-21756===
| | Die alten FortiAnalyzer-Modelle |
| [[Datei:new.svg|40px|link=]]
| | * 1000E |
| Offizieller Link: https://www.fortiguard.com/psirt/FG-IR-23-489
| | * 1000F |
| ----
| | * 2000E |
| <big>'''Problembeschreibung:'''</big><br>
| | * 3000E |
| Mehrere authentisierte OS Command Injections in FortiSandbox
| | * 3000F |
| | | * 3000G |
| <big>'''Bedrohungslevel:'''</big><br>
| | * 3500E |
| * Severity '''High'''
| | * 3500F |
| * Die Bedrohung wird mit einem CVSSv3 Score von '''8.6''' eingestuft!
| | * 3500G |
| | | * 3700F |
| <big>'''Betroffene Systeme:'''</big><br>
| | * 3700G |
| * FortiSandbox 4.4.0 bis 4.4.3
| | * 3900E |
| * FortiSandbox 4.2.0 bis 4.2.6
| | mit der folgenden aktivierten Funktion (FortiManager auf FortiAnalyzer): |
| * FortiSandbox 4.0.0 bis 4.0.4
| | {| class="wikitable" style="width:550px" |
| | |
| <big>'''Lösung:'''</big>
| |
| | |
| Auf folgende Versionen kann upgedatet werden, damit diese Sicherheitslücke geschlossen wird:
| |
| * FortiSandbox 4.4.4 oder höher
| |
| * FortiSandbox 4.2.7 oder höher
| |
| * FortiSandbox 4.0.5 oder höher
| |
| ----
| |
| <small>add 10.04.2024- CHri5</small>
| |
| |}
| |
| | |
| {| class="wikitable" style="width:100%"
| |
| |-
| |
| | style="width:100px;background-color: #f2f79d;vertical-align:top"| <span style="color:#ffbb98">[[File:vulnerability.svg|100px|link=]]</span>
| |
| |
| |
| | |
| ===FortiSandbox - Arbitrary file delete on endpoint - CVE-2024-23671===
| |
| [[Datei:new.svg|40px|link=]]
| |
| https://www.fortiguard.com/psirt/FG-IR-23-454
| |
| ----
| |
| <big>'''Problembeschreibung:'''</big><br>
| |
| Authentisierter Angreifer (mit mindestens Read-only Permission) kann via HTTP requests willkürlich Files löschen
| |
| <big>'''Bedrohungslevel:'''</big><br>
| |
| * Severity '''High'''
| |
| * Die Bedrohung wird mit einem CVSSv3 Score von '''7.9''' eingestuft!
| |
| | |
| <big>'''Betroffene Systeme:'''</big><br>
| |
| * FortiSandbox 4.4.0 bis 4.4.3
| |
| * FortiSandbox 4.2.0 bis 4.2.6
| |
| * FortiSandbox 4.0.0 bis 4.0.4
| |
| | |
| <big>'''Lösung:'''</big>
| |
| | |
| Auf folgende Versionen kann upgedatet werden, damit diese Sicherheitslücke geschlossen wird:
| |
| * FortiSandbox 4.4.4 oder höher
| |
| * FortiSandbox 4.2.7 oder höher
| |
| * FortiSandbox 4.0.5 oder höher
| |
| ----
| |
| <small>add 10.04.2024- CHri5</small>
| |
| |}
| |
| | |
| {| class="wikitable" style="width:100%"
| |
| |-
| |
| | style="width:100px;background-color: #f2f79d;vertical-align:top"| <span style="color:#ffbb98">[[File:vulnerability.svg|100px|link=]]</span>
| |
| |
| |
| | |
| ===FortiOS/FortiProxy - Out-of-bound Write in sslvpnd - CVE-2024-21762 ===
| |
| [[Datei:new.svg|40px|link=]]
| |
| ----
| |
| <big>'''Problembeschreibung:'''</big><br>
| |
| Eine Out of Bounds Write-Schwachstelle [CWE-787] im FortiOS und FortiProxy kann einem remoten nicht authentifizierten Angreifer die Ausführung
| |
| von beliebigem Code oder Befehlen über speziell gestaltete HTTP-Anfragen ermöglichen.
| |
| | |
| <big>'''Bedrohungslevel:'''</big><br>
| |
| * Severity '''Critical'''
| |
| * Die Bedrohung wird mit einem CVSSv3 Score von '''9.6''' eingestuft!!
| |
| | |
| <big>'''Betroffene Systeme:'''</big><br>
| |
| * FortiOS 7.4.0 bis 7.4.2 [[File:FortiOS_74.svg|20px|link=]]
| |
| * FortiOS 7.2.0 bis 7.2.6 [[File:FortiOS_72.svg|20px|link=]]
| |
| * FortiOS 7.0.0 bis 7.0.13 [[File:FortiOS_70.svg|20px|link=]]
| |
| * FortiOS 6.4.0 bis 6.4.14 [[File:FortiOS_64.svg|20px|link=]]
| |
| * FortiOS 6.2.0 bis 6.2.15 [[File:FortiOS_62.svg|20px|link=]]
| |
| * FortiOS 6.0.0 bis 6.0.17 [[File:FortiOS_60.svg|20px|link=]]
| |
| ----
| |
| * FortiProxy 7.4.0 bis 7.4.2 | |
| * FortiProxy 7.2.0 bis 7.2.8 | |
| * FortiProxy 7.0.0 bis 7.0.14 | |
| * FortiProxy 2.0.0 bis 2.0.13 | |
| * FortiProxy 1.2 alle Versionen | |
| * FortiProxy 1.1 alle Versionen | |
| * FortiProxy 1.0 alle Versionen | |
| | |
| <big>'''Lösung:'''</big>
| |
| | |
| Auf folgende Versionen kann upgedatet werden, damit diese Sicherheitslücke geschlossen wird:
| |
| * FortiOS 7.4.3 oder höher [[File:FortiOS_74.svg|20px|link=]] | |
| * FortiOS 7.2.7 oder höher [[File:FortiOS_72.svg|20px|link=]] | |
| * FortiOS 7.0.14 oder höher [[File:FortiOS_70.svg|20px|link=]] | |
| * FortiOS 6.4.15 oder höher [[File:FortiOS_64.svg|20px|link=]] | |
| * FortiOS 6.2.16 oder höher [[File:FortiOS_62.svg|20px|link=]] ⇒ Dieses FortiOS ist End of Support, falls möglich auf eine supportete Version upgraden | |
| * FortiOS 6.0.18 oder höher [[File:FortiOS_60.svg|20px|link=]] ⇒ Dieses FortiOS ist End of Support, falls möglich auf eine supportete Version upgraden
| |
| | |
| * FortiProxy 7.4.3 oder höher
| |
| * FortiProxy 7.2.9 oder höher
| |
| * FortiProxy 7.0.15 oder höher
| |
| * FortiProxy 2.0.15 oder höher
| |
| * FortiProxy 1.2 auf eine supportete Version upgraden
| |
| * FortiProxy 1.1 auf eine supportete Version upgraden
| |
| * FortiProxy 1.0 auf eine supportete Version upgraden
| |
| | |
| Beachte immer den Upgradepfad: https://docs.fortinet.com/upgrade-tool/fortigate
| |
| {| class="wikitable" style="width:850px"
| |
| |-
| |
| | style="width:50px;background-color: #276ef1;"| <span>[[File:info.svg|50px|link=]]</span>
| |
| | style="background-color: #A9C5F9"|
| |
| '''ACHTUNG es gibt FortiOS Versionen die nur mit einem aktivem FortiCare benutzt werden können
| |
| | |
| <small>Wir haben natürlich auf allen Geräten ein aktives FortiCare :-)</small>
| |
| |}
| |
| | |
| <big>'''Was kann man noch tun?</big>
| |
| | |
| Wenn das SSL VPN nicht benutzt wird, sollte dieses generell deaktiviert werden. Achtung das deaktivieren des Webmodus reicht nicht aus!
| |
| {| class="wikitable" style="width:850px" | |
| |- style="background:#89E871"
| |
| | [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
| |
| |-
| |
| |
| |
| SSL VPN aktiviert:
| |
| [[Datei:Fortinet-3346.jpg|550px|link=]]
| |
| SSL VPN deaktiviert:
| |
| [[Datei:Fortinet-3347.jpg|link=]]
| |
| |}
| |
| | |
| {| class="wikitable" style="width:850px"
| |
| |- style="background:#89E871" | | |- style="background:#89E871" |
| | [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:''' | | | [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:''' |
Zeile 307: |
Zeile 116: |
| | | | | |
| <pre style="background-color:#252269;color: #FFFFFF"> | | <pre style="background-color:#252269;color: #FFFFFF"> |
| config vpn ssl settings | | config system global |
| set status disable
| | set fmg-status enable |
| end | | end |
| </pre> | | </pre> |
| |} | | |} |
| ----
| | Ebenfalls ist mindestens ein Interface mit aktiviertem fgfm-Dienst von dieser Sicherheitslücke betroffen. |
| '''Weitere Informationen findet man unter folgenden externen Artikeln:'''<br>
| |
| <small>
| |
| PSIRT - FortiGuard:
| |
| * https://www.fortiguard.com/psirt/FG-IR-24-015
| |
| Informationen CVE-2024-21762
| |
| * https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-21762
| |
| Informationen auf heise.de
| |
| * https://www.heise.de/news/Sicherheitsupdates-SSL-VPN-Komponente-von-FortiOS-angreifbar-9623561.html
| |
| </small>
| |
| ----
| |
| <small>add 23.02.2024- 4 Tinu</small>
| |
| |}
| |
| | |
| {| class="wikitable" style="width:100%"
| |
| |-
| |
| | style="width:100px;background-color: #f2f79d;vertical-align:top"| <span style="color:#ffbb98">[[File:vulnerability.svg|100px|link=]]</span>
| |
| |
| |
| | |
| ===Apache log4j2 log messages substitution - CVE-2021-44228 ===
| |
| ----
| |
| <big>'''Problembeschreibung:'''</big><br>
| |
| Apache Log4j <=2.14.1 JNDI-Funktionen, die in der Konfiguration, in den Lognachrichten und in den Parametern verwendet werden,
| |
| bieten keinen Schutz gegen von Angreifern kontrollierte LDAP- und andere JNDI-bezogene Endpunkte.
| |
| Ein Angreifer, der Lognachrichten oder Lognachrichtenparameter kontrollieren kann, kann beliebigen Code ausführen,
| |
| der von LDAP-Servern geladen wird, wenn die ''Message lookup Substitution'' für Nachrichten aktiviert ist (CVE-2021-44228).
| |
| | |
| <big>'''Bedrohungslevel:'''</big><br>
| |
| * Severity '''Critical'''
| |
| * Die Bedrohung wird mit einem CVSSv3 Score von '''9.8''' eingestuft!!
| |
| | |
| <big>'''Betroffene Systeme:'''</big><br>
| |
| Die folgenden Produkte sind betroffen und es wird an Korrekturen gearbeitet. Dieser Hinweis wird aktualisiert, sobald ETAa verfügbar sind:
| |
| * FortiSIEM
| |
| * FortiCASB
| |
| * FortiPortal
| |
| * FortiNAC
| |
| * FortiConvertor
| |
| * FortiAIOps
| |
| * FortiNAC
| |
| * FortiPolicy
| |
| * ShieldX
| |
| * FortiSOAR
| |
| * FortiEDR Cloud
| |
| | |
| Nicht betroffene Systeme:
| |
| * FortiOS (includes FortiGate & FortiWiFi)
| |
| * FortiAnalyzer
| |
| * FortiManager
| |
| * FortiAP
| |
| * FortiAuthenticator
| |
| * FortiDeceptor
| |
| * FortiMail
| |
| * FortiVoice
| |
| * FortiRecorder
| |
| * FortiSwitch & FortiSwitchManager
| |
| * FortiAnalyzer Cloud
| |
| * FortiManager Cloud
| |
| * FortiGate Cloud
| |
| * FortiWeb Cloud
| |
| * FortiGSLB Cloud
| |
| * FortiToken Cloud
| |
| * FortiPhish Cloud
| |
| * FortiSwicth Cloud in FortiLANCloud
| |
| * FortiEDR Agent
| |
| | |
| <big>'''Lösung:'''</big>
| |
| * Aktualisiere das FortiPortal auf die Version 6.0.9 oder höher
| |
| * Aktualisiere den FortiSIEM auf die Version 6.0.5 oder höher
| |
| * Aktualisiere den FortiAIOps auf die Version 1.0.3 oder höher
| |
| * Aktualisiere den FortiAnalyzer-BigData auf die Version 7.2.3 oder höher
| |
| * Aktualisiere den FortiPolicy auf die Version 7.2.0 oder höher
| |
| * Behoben in der FortiLANCloud 22.1
| |
| * Behoben im FortiConverter Service Portal 21.4
| |
| * Behoben beim FortiCASB 22.1
| |
| | |
| '''IPS-Signatur-Schutz im FortiOS'''
| |
| | |
| Fortinet hat die IPS-Signatur <code> Apache.Log4j.Error.Log.Remote.Code.Execution </code> mit der '''VID 51006'' veröffentlicht, um diese Bedrohung zu bekämpfen.
| |
| Diese Signatur wurde ursprünglich im IPS-Paket (Version 19.215) veröffentlicht.
| |
| Zu beachten gilt, dass die Standardaktion für diese Signatur auf '''Pass''' gesetzt ist, da es sich um eine Notfallversion handelt.
| |
| Im Bedarfsfall kann die Aktion geändert werden:
| |
| [[Datei:Fortinet-3332.jpg|750px|link=]]
| |
| | |
| '''Web Application Firewall''' (FortiWeb & FortiWeb Cloud)
| |
| | |
| Webanwendungssignaturen zur Verhinderung dieser Schwachstelle wurden in der Datenbank ''Version 0.00301'' hinzugefügt und in der neuesten ''Version 0.00305''
| |
| für zusätzliche Abdeckung aktualisiert
| |
| ----
| |
| Report zum downloaden: [[Datei:Report-CVE-2021-44228.pdf]]
| |
| ----
| |
| '''Weitere Informationen findet man unter folgenden externen Artikeln:'''<br>
| |
| <small>PSIRT - FortiGuard:</small>
| |
| * https://www.fortiguard.com/psirt/FG-IR-21-245
| |
| <small>weitere Infos - FortiGuard:</small>
| |
| * https://www.fortiguard.com/outbreak-alert/log4j2-vulnerability
| |
| <small>Informationen CVE-2021-44228:</small>
| |
| * https://nvd.nist.gov/vuln/detail/CVE-2021-44228
| |
| <small>weitere Informationen:</small>
| |
| * https://blog.talosintelligence.com/lazarus_new_rats_dlang_and_telegram/
| |
| ----
| |
| <small>add 15.11.2023 - 4 Tinu</small>
| |
| |}
| |
|
| |
|
| {| class="wikitable" style="width:100%"
| | <big>'''Workarounds:</big></br> |
| |-
| |
| | style="width:100px;background-color: #f2f79d;vertical-align:top"| <span style="color:#ffbb98">[[File:vulnerability.svg|100px|link=]]</span>
| |
| |
| |
| | |
| ===FortiClient (Windows) - Willkürliches Löschen von Dateien durch unprivilegierte Benutzer - CVE-2022-40681 ===
| |
| ----
| |
| <big>'''Problembeschreibung:'''</big><br> | |
| Sicherheitslücke wurde im FortiClient (Windows) bis zur Version 6.0.10/6.2.9/6.4.8/7.0.7 gefunden. Sie wurde als kritisch eingestuft.
| |
| Diese Sicherheitslücke betrifft einen unbekannten Teil der Komponente vom Request Handler. Die Manipulation mit einer unbekannten
| |
| Eingabe führt zu einer Autorisierungsschwachstelle.
| |
| | |
| Die CWE-Definition für die Sicherheitslücke lautet CWE-863. Das Produkt führt eine Berechtigungsprüfung durch,
| |
| wenn ein Akteur versucht, auf eine Ressource zuzugreifen oder eine Aktion durchzuführen, aber es führt die Prüfung nicht korrekt durch.
| |
| | |
| Dies ermöglicht es Angreifern, die beabsichtigten Zugriffsbeschränkungen zu umgehen. Als Auswirkung ist bekannt,
| |
| dass Vertraulichkeit, Integrität und Verfügbarkeit beeinträchtigt werden.
| |
| | |
| Es sind weder technische Details noch ein Exploit öffentlich verfügbar.
| |
| | |
| <big>'''Zusammenfassung:'''</big> <br>
| |
| Eine fehlerhafte Autorisierung [CWE-863] Schwachstelle in FortiClient (Windows) könnte einem lokalen Angreifer mit geringen Privilegien erlauben, beliebige Dateien im Gerätedateisystem zu löschen.
| |
| | |
| <big>'''Bedrohungslevel:'''</big><br>
| |
| * Severity '''High'''
| |
| * Die Bedrohung wird mit einem CVSSv3 Score von '''7.1''' eingestuft!!
| |
| | |
| <big>'''Betroffene Systeme:'''</big>
| |
| * FortiClient Windows Version 7.0.0 bis 7.0.7
| |
| * FortiClient Windows Version 6.4.0 bis 6.4.8
| |
| * FortiClient Windows Version 6.2 Alle Versionen
| |
| * FortiClient Windows Version 6.0 Alle Versionen
| |
| * '''Nicht betroffen''' ist die FortiClient Windows Version 7.2
| |
| | |
| <big>'''Lösung:'''</big>
| |
| Upgraden auf einer der folgenden FortiSIEM Versionene:
| |
| * FortiClient Windows Upgraden auf Version 7.2.0 oder höher
| |
| * FortiClient Windows Upgraden auf Version 7.0.8 oder höher
| |
| * FortiClient Windows Upgraden auf Version 6.4.9 oder höher
| |
| * FortiClient Windows Versionen 6.0 und 6.2 auf eine gefixte Version migrieren!!
| |
| Beim Upgraden undbedingt den Upgrade Pfad beachten: https://docs.fortinet.com/upgrade-tool
| |
|
| |
|
| ----
| | '''Massnahme 1''':</br> |
| '''Weitere Informationen findet man unter folgenden externen Artikeln:'''<br> | | Auf dem FortiManager der Versionen <=7.0.12, <=7.2.5 oder <=7.4.3 (ausser 7.6.0) kann mit folgender Konfiguration verhindert werden, dass unbekannte Geräte sich versuchen zu registrieren: |
| <small>PSIRT - FortiGuard:</small>
| | {| class="wikitable" style="width:550px" |
| * https://www.fortiguard.com/psirt/FG-IR-22-299
| |
| <small>Informationen CVE-2022-40681:</small>
| |
| * https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-40681
| |
| * https://www.cve.org/CVERecord?id=CVE-2022-40681
| |
| ----
| |
| <small>add 15.11.2023 - 4 Tinu</small>
| |
| |}
| |
| | |
| {| class="wikitable" style="width:100%"
| |
| |-
| |
| | style="width:100px;background-color: #f2f79d;vertical-align:top"| <span style="color:#ffbb98">[[File:vulnerability.svg|100px|link=]]</span>
| |
| |
| |
| | |
| ===FortiSIEM - Multiple path traversal vulnerabilities - CVE-2023-40714 ===
| |
| ----
| |
| <big>'''Problembeschreibung:'''</big> <br>
| |
| Eine relative Pfadüberquerungsschwachstelle [CWE-23] in den FortiSIEM-Datei-Upload-Komponenten könnte es einem authentifizierten,
| |
| wenig privilegierten Benutzer der FortiSIEM-GUI erlauben, seine Privilegien zu erweitern und beliebige Dateien auf dem zugrundeliegenden
| |
| Dateisystem über speziell gestaltete HTTP-Anfragen zu ersetzen.
| |
| | |
| <big>'''Bedrohungslevel:'''</big><br> | |
| Die Bedrohung wird mit einem CVSSv3 Score von '''9.7''' eingestuft!!
| |
| | |
| <big>'''Betroffene Systeme:'''</big>
| |
| * FortiSIEM Version 7.0.0
| |
| * FortiSIEM Version 6.7.0 bis 6.7.3
| |
| * FortiSIEM Version 6.6.0 bis 6.6.3
| |
| * FortiSIEM Version 6.5.0 bis 6.5.1
| |
| * FortiSIEM Version 6.4.0 bis 6.4.2
| |
| | |
| <big>'''Lösung:'''</big>
| |
| Upgraden auf einer der folgenden FortiSIEM Versionene:
| |
| * FortiSIEM Version 7.0.0 oder höher
| |
| * FortiSIEM Version 6.7.4 oder höher
| |
| * FortiSIEM Version 6.6.4 oder höher
| |
| * FortiSIEM Version 6.5.2 oder höher
| |
| * FortiSIEM Version 6.4.3 oder höher
| |
| | |
| ----
| |
| '''Weitere Informationen findet man unter folgenden externen Artikeln:'''<br>
| |
| <small>PSIRT - FortiGuard:</small>
| |
| * https://www.fortiguard.com/psirt/FG-IR-23-085
| |
| <small>Informationen CVE-2023-40714:</small>
| |
| * https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-40714
| |
| * https://www.cve.org/CVERecord?id=CVE-2023-40714
| |
| ----
| |
| <small>add 12.10.2023 - 4 Tinu</small>
| |
| |}
| |
| | |
| {| class="wikitable" style="width:100%"
| |
| |-
| |
| | style="width:100px;background-color: #f2f79d;vertical-align:top"| <span style="color:#ffbb98">[[File:vulnerability.svg|100px|link=]]</span>
| |
| |
| |
| | |
| === Sicherheitsluecke FortiOS/FortiProxy - Proxy mode with deep inspection - Stack-based buffer overflow - CVE-2023-33308===
| |
| ----
| |
| <big>'''Problembeschreibung:'''</big> <br>
| |
| Eine stapelbasierte Overflow schwachstelle [CWE-124] im FortiOS & FortiProxy könnte einem remoten Angreifer erlauben, beliebigen Code oder Befehle über manipulierte Pakete auszuführen,
| |
| die Proxy-Policies oder Firewall-Policies mit Proxy-Modus zusammen mit SSL Deep Packet Inspection erreichen.
| |
| | |
| <big>'''Bedrohungslevel:'''</big> <br>
| |
| Der Schweregrad der Sicherheitslücke wird mit '''9.8''' !! eingestuft
| |
| | |
| <big>'''Betroffene Systeme:'''</big><br>
| |
| '''FortiOS Versionen:'''
| |
| * FortiOS Version 7.2.0 bis 7.2.3
| |
| * FortiOS Version 7.0.0 bis 7.0.10
| |
| '''FortiProxy Versionen: '''
| |
| * FortiProxy Version 7.2.0 bis 7.2.2
| |
| * FortiProxy Version 7.0.0 bis 7.0.9
| |
| | |
| '''Diese Versionen sind nicht betroffen:'''
| |
| * FortiOS 6.4 - Alle Versionen sind nicht betroffen
| |
| * FortiOS 6.2 - Alle Versionen sind nicht betroffen
| |
| * FortiOS 6.0 - Alle Versionen sind nicht betroffen
| |
| * FortiProxy 2.x - Alle Versionen sind nicht betroffen
| |
| * FortiProxy 1.x - Alle Versionen sind nicht betroffen
| |
| | |
| <small>Liste wurde von [https://www.fortiguard.com/psirt/FG-IR-23-183| hier] entnommen:</small>
| |
| | |
| <big>'''Workaround:'''</big><br>
| |
| * FortiProxy : Deaktivieren des HTTP/2 Support im SSL Inspektions Profil auf Proxy Policies (SSL-FullInspektion deaktivieren geht auch)
| |
| * FortiGate : Deaktivieren des HTTP/2 Support im SSL Inspektions Profil in Firewallregeln welche im Proxymode betrieben werden (SSL-FullInspektion deaktivieren geht auch)
| |
| | |
| Beispiel mit benutzerdefiniertem Deep-Inspection-Profil:
| |
| {| class="wikitable" style="width:80%" | |
| |- style="background:#89E871" | | |- style="background:#89E871" |
| | [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:''' | | | [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:''' |
Zeile 552: |
Zeile 133: |
| | | | | |
| <pre style="background-color:#252269;color: #FFFFFF"> | | <pre style="background-color:#252269;color: #FFFFFF"> |
| config firewall ssl-ssh-profile | | config system global |
| edit "custom-deep-inspection"
| | set fgfm-deny-unknown enable |
| set supported-alpn http1-1
| |
| next
| |
| end | | end |
| </pre> | | </pre> |
| <small>Referenz: https://docs.fortinet.com/document/fortigate/7.0.0/new-features/710924/http-2-support-in-proxy-mode-ssl-inspection</small>
| | {| class="wikitable" style="width:500px" |
| |}
| |
| | |
| <big>'''Lösung:'''</big><br>
| |
| Um die Sicherheitslücke im betroffenen FortiOS zu schliessen auf einer der folgenden FortiOS Versionen updaten.
| |
| '''FortiOS'''
| |
| * 7.4.0 -> [https://docs.fortinet.com/document/fortigate/7.4.0/fortios-release-notes/760203/introduction-and-supported-models| ReleaseNotes 7.4.0]
| |
| * 7.2.4 -> [https://docs.fortinet.com/document/fortigate/7.2.4/fortios-release-notes/760203/introduction-and-supported-models| ReleaseNotes 7.2.4]
| |
| * 7.0.11 -> [https://docs.fortinet.com/document/fortigate/7.0.11/fortios-release-notes/760203/introduction-and-supported-models| ReleaseNotes 7.0.11]
| |
| | |
| '''FortiProxy'''
| |
| * FortiProxy 7.2.3 oder höher -> [https://docs.fortinet.com/document/fortiproxy/7.2.3/release-notes/146706/introduction| ReleaseNotes 7.2.3]
| |
| * FortiProxy 7.0.10 oder höher -> [https://docs.fortinet.com/document/fortiproxy/7.0.10/release-notes/146706/introduction| ReleaseNotes 7.0.10]
| |
| {| class="wikitable" style="width:850px" | |
| |- | | |- |
| | style="width:50px;background-color: #FF7730;"| <span>[[File:wichtig.svg|50px|link=]]</span> | | | style="width:50px;background-color: #FF7730;"| <span>[[File:wichtig.svg|50px|link=]]</span> |
| | style="background-color: #FFB991"| | | | style="background-color: #FFB991"| |
| Bitte Beachtet beim Updaten noch folgenden Artikel:[[Fortinet:Support-Alerts#Sicherheitsluecke_Heap_buffer_overflow_in_sslvpn_pre-authentication_-_CVE-2023-27997|CVE-2023-27997]]<br>
| | Wenn du diese Einstellung aktivierst, verhindert FortiManager, dass sich ein FortiGate-Gerät registriert, falls dessen Seriennummer nicht in der Geräteliste hinterlegt ist, selbst wenn das Modellgerät und der vorab geteilte Schlüssel (PSK) übereinstimmen. |
| Heisst, besser auf diese im Artikel beschriebenen Versionen upgraden.
| |
| |}
| |
| ----
| |
| '''Weitere Informationen findet man unter folgenden externen Artikeln:'''<br>
| |
| <small>
| |
| PSIRT - FortiGuard:
| |
| * https://www.fortiguard.com/psirt/FG-IR-23-183
| |
| | |
| CVE:
| |
| * https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-33308
| |
| | |
| Heise DE:
| |
| * https://www.heise.de/news/Update-gegen-kritische-Luecke-in-FortiOS-FortiProxy-9214207.html
| |
| </small>
| |
| ----
| |
| <small>add {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu</small>
| |
| |} | | |} |
|
| |
| {| class="wikitable" style="width:100%"
| |
| |-
| |
| | style="width:100px;background-color: #f2f79d;vertical-align:top"| <span style="color:#ffbb98">[[File:vulnerability.svg|100px|link=]]</span>
| |
| |
| |
|
| |
| === Sicherheitsluecke Heap buffer overflow in sslvpn pre-authentication - CVE-2023-27997===
| |
| ----
| |
| <big>'''Problembeschreibung:'''</big> <br>
| |
| Eine neue kritische Sicherheitslücke, die derzeit noch nicht öffentlich bekannt ist, betrifft Fortinets Fortigate-Firewalls, genauer gesagt die SSL-VPN-Funktionen.
| |
|
| |
| Die Sicherheitslücke ermöglicht es auf allen FortiGate mit aktivem SSL-VPN sich ohne Authentifizierung diese Schwachstelle auszunutzen.
| |
|
| |
| <big>'''Bedrohungslevel:'''</big> <br>
| |
| Der Schweregrad der Sicherheitslücke wird mit '''9.2''' !! eingestuft
| |
|
| |
| <big>'''Betroffene Systeme:'''</big><br>
| |
| '''FortiOS Versionen:'''
| |
| * FortiOS Version 7.2.0 bis 7.2.4
| |
| * FortiOS Version 7.0.0 bis 7.0.11
| |
| * FortiOS Version 6.4.0 bis 6.4.12
| |
| * FortiOS Version 6.2.0 bis 6.2.14
| |
| * FortiOS Version 6.0.0 bis 6.0.16
| |
| * Das FortiOS 7.4.0 ist nicht betroffen.
| |
| '''FortiProxy Versionen: '''
| |
| * FortiProxy Version 7.2.0 bis 7.2.3
| |
| * FortiProxy Version 7.0.0 bis 7.0.9
| |
| * FortiProxy Version 2.0.0 bis 2.0.12
| |
| * FortiProxy 1.2 alle Versionen
| |
| * FortiProxy 1.1 alle Versionen
| |
| '''FortiOS-6K7K Versionen:'''
| |
| * FortiOS-6K7K Version 7.0.10
| |
| * FortiOS-6K7K Version 7.0.5
| |
| * FortiOS-6K7K Version 6.4.12
| |
| * FortiOS-6K7K Version 6.4.10
| |
| * FortiOS-6K7K Version 6.4.8
| |
| * FortiOS-6K7K Version 6.4.6
| |
| * FortiOS-6K7K Version 6.4.2
| |
| * FortiOS-6K7K Version 6.2.9 bis 6.2.13
| |
| * FortiOS-6K7K Version 6.2.6 bis 6.2.7
| |
| * FortiOS-6K7K Version 6.2.4
| |
| * FortiOS-6K7K Version 6.0.12 bis 6.0.16
| |
| * FortiOS-6K7K Version 6.0.10
| |
| <small>Liste wurde von [https://www.fortiguard.com/psirt/FG-IR-23-097| hier] entnommen:</small>
| |
|
| |
| <big>'''Workaround:'''</big><br>
| |
| Das SSL-VPN auf der FortiGate deaktivieren, bis das Gerät auf einer der unter '''Lösung''' aufgeführten FortiOS Versionen, upgedatet werden kann.
| |
|
| |
| <big>'''Lösung:'''</big><br>
| |
| Um die Sicherheitslücke im betroffenen FortiOS zu schliessen auf einer der folgenden FortiOS Versionen updaten.
| |
| '''FortiOS'''
| |
| * 7.2.5 -> [https://docs.fortinet.com/document/fortigate/7.2.5/fortios-release-notes/760203/introduction-and-supported-models| ReleaseNotes 7.2.5]
| |
| * 7.0.12 -> [https://docs.fortinet.com/document/fortigate/7.0.12/fortios-release-notes/760203/introduction-and-supported-models| ReleaseNotes 7.0.12]
| |
| * 6.4.13 -> [https://docs.fortinet.com/document/fortigate/6.4.13/fortios-release-notes/760203/introduction-and-supported-models| ReleaseNotes 6.4.13]
| |
| * 6.2.15 -> [https://docs.fortinet.com/document/fortigate/6.2.15/fortios-release-notes/760203/introduction-and-supported-models| ReleaseNotes 6.2.15]
| |
| * 6.0.17 -> [https://docs.fortinet.com/document/fortigate/6.0.17/fortios-release-notes/760203/introduction| ReleaseNotes 6.0.17]<small>EoS</small>
| |
| '''FortiProxy'''
| |
| * FortiProxy 7.2.4 oder höher -> [https://docs.fortinet.com/document/fortiproxy/7.2.4/release-notes/146706/introduction| ReleaseNotes 7.2.4]
| |
| * FortiProxy 7.0.10 oder höher -> [https://docs.fortinet.com/document/fortiproxy/7.0.10/release-notes/146706/introduction| ReleaseNotes 7.0.10]
| |
| * FortiProxy 2.0.13 oder höher -> [https://docs.fortinet.com/product/fortiproxy/2.0| Momentan keine Release Notes für die 2.0.13 Version auf den Docs]
| |
| '''FortiOS-6K7K'''
| |
| * FortiOS-6K7K 7.0.12 oder höher -> [https://docs.fortinet.com/product/fortigate/7.0| Momentan keine Release Notes für die 7.0.12 Version auf den Docs]
| |
| * FortiOS-6K7K 6.4.13 oder höher -> [https://docs.fortinet.com/product/fortigate/6.4| Momentan keine Release Notes für die 6.4.13 Version auf den Docs]
| |
| * FortiOS-6K7K 6.2.15 oder höher -> [https://docs.fortinet.com/product/fortigate/6.2| Momentan keine Release Notes für die 6.2.15 Version auf den Docs]
| |
| * FortiOS-6K7K 6.0.17 oder höher -> [https://docs.fortinet.com/product/fortigate/6.0| Momentan keine Release Notes für die 6.0.17 Version auf den Docs]
| |
| <big>'''Weitere empfohlene Massnahmen:'''</big><br>
| |
| Neben der Überwachung von Sicherheitshinweisen und dem sofortigen Patchen von Systemen empfiehlt Fortinet dringend Folgendes:
| |
| * Überprüfen der Systeme auf Hinweise auf die Ausnutzung früherer Schwachstellen, z.B. FG-IR-22-377 / CVE-2022-40684
| |
| * Achte auf eine eine gute Cyber-Hygiene und befolge die Patching-Empfehlungen der Hersteller.
| |
| * Befolge die Hardering Empfehlung wie solche vom FortiOS Hardening Guide
| |
| ** [[Datei:FortiGate-BestPractices-62.pdf]] [[File:FortiOS_62.svg|20px|link=]] <small>6.2.13</small>
| |
| ** [[Datei:FortiGate-BestPractices-64.pdf]] [[File:FortiOS_64.svg|20px|link=]]
| |
| ** [[Datei:FortiGate-BestPractices-70.pdf]] [[File:FortiOS_70.svg|20px|link=]] <small>7.0.11</small>
| |
| ** [[Datei:FortiGate-BestPractices-72.pdf]] [[File:FortiOS_72.svg|20px|link=]] <small>7.2.5</small>
| |
| ** [[Datei:FortiGate-BestPractices-74.pdf]] [[File:FortiOS_74.svg|20px|link=]] <small>7.4.0</small>
| |
| ** [[Datei:FortiGate-Hardening-60.pdf]] [[File:FortiOS_60.svg|20px|link=]]
| |
| ** [[Datei:FortiGate-Hardening-64.pdf]] [[File:FortiOS_64.svg|20px|link=]]
| |
| * Minimiere die Angriffsfläche, indem ungenutzte Funktionen deaktivieren werden. (zum Beispiel das SSL-VPN)
| |
| * Benutze ein Out of Band Netz für das Managen der Geräte. (Dediziertes Management Netz, welches von allen anderen Netzen abgeschotet ist)
| |
| ----
| |
| '''Weitere Informationen findet man unter folgenden externen Artikeln:'''<br>
| |
| <small>
| |
| Heise DE:
| |
| * https://www.heise.de/news/Fortinet-SSL-VPN-Luecke-ermoeglicht-Codeschmuggel-9184284.html
| |
| PSIRT - FortiGuard:
| |
| * https://www.fortiguard.com/psirt/FG-IR-23-097
| |
| * https://www.fortinet.com/blog/psirt-blogs/analysis-of-cve-2023-27997-and-clarifications-on-volt-typhoon-campaign
| |
| CVE:
| |
| * https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-27997
| |
| * https://www.cve.org/CVERecord?id=CVE-2023-27997
| |
| </small>
| |
| ----
| |
| <small>edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu</small>
| |
| |} | | |} |
|
| |
|
| {| class="wikitable" style="width:100%"
| | '''Massnahme 2''':</br> |
| |-
| | Für alle FortiManager ab der Version 7.2.0 kannst du Abhilfemassnahmen ergreifen, indem du lokale Firewallregeln (Local-In-Regeln) erstellst. |
| | style="width:100px;background-color: #f2f79d;vertical-align:top"| <span style="color:#ffbb98">[[File:vulnerability.svg|100px|link=]]</span>
| | Damit kannst du die IP-Adressen der FortiGate-Geräte, welche eine Verbindung herstellen dürfen, auf eine Freigabeliste zu setzen. |
| |
| |
|
| |
|
| === FortiOS / FortiProxy - Heap buffer underflow in administrative interface - CVE-2023-25610 ===
| | Alternativ kannst du dies auch über einer externen Firewall welche vor dem FortiManager platziert ist, im Regelset konfigurieren. |
|
| |
|
| ----
| | Um eine lokale Firewallregel auf dem FortiManager zu konfigurieren, die Verbindungen von einem bekannten Subnetz, z. B. 198.18.250.0/24 (Verwaltungsnetzwerk), |
| '''Beschreibung:'''
| | sowie der spezifischen IP-Adresse 10.250.17.2 (FortiGate-Gerät) zulässt, verwende folgende Regeln: |
| | | {| class="wikitable" style="width:850px" |
| Eine Pufferunterlauf-Schwachstelle ('buffer underflowe') auf den Admin Interfaces vom FortiOS & FortiProxy ermöglicht es einem nicht authentifiziertem Remotenn Angreifer, über speziell gestaltete Anfragen beliebigen Code auf dem Gerät auszuführen und/oder
| | |- style="background:#89E871" |
| eine DoS Attacke auf die WebGUI durchzuführen.
| | | [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:''' |
| | |
| Zur Zeit ist Fortinet kein Fall bekannt, in dem diese Sicherheitslücke in freier Wildbahn ausgenutzt wurde.
| |
| Fortinet überprüft und testen kontinuierlich die Sicherheit der Produkte. Dabei wurde diese Schwachstelle in einem internen kontrolling entdeckt.
| |
| | |
| '''Betroffene FortiOS Versionen:'''<br>
| |
| * FortiOS Version 7.2.0 bis 7.2.3
| |
| * FortiOS Version 7.0.0 bis 7.0.9
| |
| * FortiOS Version 6.4.0 bis 6.4.11
| |
| * FortiOS Versionen 6.2.0 bis 6.2.12
| |
| * ALLE FortiOS 6.0 Versionen
| |
| * FortiProxy OS Version 7.2.0 bis 7.2.2
| |
| * FortiProxy OS Version 7.0.0 bis 7.0.8
| |
| * FortiProxy OS Version 2.0.0 bis 2.0.12
| |
| * ALLE FortiProxy OS 1.2 Versionen
| |
| * ALLE FortiProxy OS 1.1 Versionen
| |
| | |
| Selbst wenn eine verwundbare FortiOS-Version ausgeführt wird, sind die unten aufgeführten Hardware-Geräte "nur" vom DoS-Teil des Problems betroffen, "nicht" von der Ausführung von beliebigem Code (nicht aufgeführte Geräte sind für beides verwundbar):
| |
| <small>
| |
| * FortiGateRugged-100C
| |
| * FortiGate-100D
| |
| * FortiGate-200C
| |
| * FortiGate-200D
| |
| * FortiGate-300C
| |
| * FortiGate-3600A
| |
| * FortiGate-5001FA2
| |
| * FortiGate-5002FB2
| |
| * FortiGate-60D
| |
| * FortiGate-620B
| |
| * FortiGate-621B
| |
| * FortiGate-60D-POE
| |
| * FortiWiFi-60D
| |
| * FortiWiFi-60D-POE
| |
| * FortiGate-300C-Gen2
| |
| * FortiGate-300C-DC-Gen2
| |
| * FortiGate-300C-LENC-Gen2
| |
| * FortiWiFi-60D-3G4G-VZW
| |
| * FortiGate-60DH
| |
| * FortiWiFi-60DH
| |
| * FortiGateRugged-60D
| |
| * FortiGate-VM01-Hyper-V
| |
| * FortiGate-VM01-KVM
| |
| * FortiWiFi-60D-I
| |
| * FortiGate-60D-Gen2
| |
| * FortiWiFi-60D-J
| |
| * FortiGate-60D-3G4G-VZW
| |
| * FortiWifi-60D-Gen2
| |
| * FortiWifi-60D-Gen2-J
| |
| * FortiWiFi-60D-T
| |
| * FortiGateRugged-90D
| |
| * FortiWifi-60D-Gen2-U
| |
| * FortiGate-50E
| |
| * FortiWiFi-50E
| |
| * FortiGate-51E
| |
| * FortiWiFi-51E
| |
| * FortiWiFi-50E-2R
| |
| * FortiGate-52E
| |
| * FortiGate-40F
| |
| * FortiWiFi-40F
| |
| * FortiGate-40F-3G4G
| |
| * FortiWiFi-40F-3G4G
| |
| * FortiGate-40F-3G4G-NA
| |
| * FortiGate-40F-3G4G-EA
| |
| * FortiGate-40F-3G4G-JP
| |
| * FortiWiFi-40F-3G4G-NA
| |
| * FortiWiFi-40F-3G4G-EA
| |
| * FortiWiFi-40F-3G4G-JP
| |
| * FortiGate-40F-Gen2
| |
| * FortiWiFi-40F-Gen2
| |
| </small>
| |
| | |
| '''Lösung:'''<br>
| |
| * Updaten auf die FortiOS Version 7.4.0 (ist noch nicht offiziell Released!)
| |
| * Updaten auf die FortiOS Version 7.2.4 oder höhere Versionen
| |
| * Updaten auf die FortiOS Version 7.0.10 oder höhere Versionen
| |
| * Updaten auf die FortiOS Version 6.4.12 oder höhere Versionen
| |
| * Updaten auf die FortiOS Version 6.2.13 oder höhere Versionen
| |
| * Updaten auf die FortiProxy OS Version 7.2.3 oder höhere Versionen
| |
| * Updaten auf die FortiProxy OS Version 7.0.9 oder höhere Versionen
| |
| | |
| * Updaten für FortiGate die nur bis FortiOS 6.0 benutzen können, ist momentan nicht möglich. Wir haben eine interne Anfrage an Fortinet gestartet und gemäss momentanem Feedback ist noch nichts geplannt. Falls sich da was neues ergeben würde, werden wir den Artikel sofort updaten.
| |
| | |
| '''Workaround für die FortiGate''' <br>
| |
| * LocalIn Policy erstellen, welche nur Zugriff auf die Admin Interfaces erlauben von vertrauenswürdigen IP Adressen
| |
| Eine kurze Anleitung wie man die LocalIn Regeln erstellt:
| |
| # IP Adressen und IP Netze definieren, welche für das Management vertrauenswürdig sind.
| |
| # Eine Adressgruppe definieren und die vorher definierten Netze hinzufügen.
| |
| # Service konfigurieren, welcher als Administrationsport definiert ist. Z.B. tcp4443
| |
| # Wenn alle Objekte erfasst sind, kann die LocalIn Regel für die erlaubten Adressen konfiguriert werden.
| |
| # Danach eine zweite LocalIn Policy erfassen, welche von Any auf Any die Services blockiert.
| |
| Zu beachten, wenn mehrere ISPs angebunden sind (SD-WAN) muss das ganze natürlich auf alle im Internet angebundenen Interfaces diese beiden Regeln gemacht werden.
| |
| | |
| '''Adressobjekte erstellen:'''
| |
| {| class="wikitable" | |
| ! style=" width:550px; text-align:left; background:#89E871" |Konfiguration über CLI
| |
| |- | | |- |
| | | | | |
| <pre style="background-color:#252269;color: #FFFFFF">
| |
| config firewall address
| |
| edit "mgmt-addr-1"
| |
| set subnet <IP-ADRESSE><NETZ-MASKE>
| |
| set color 6
| |
| next
| |
| end
| |
| </pre>
| |
| ''Zum Beispiel:''
| |
| <pre style="background-color:#252269;color: #FFFFFF"> | | <pre style="background-color:#252269;color: #FFFFFF"> |
| config firewall address | | config system local-in-policy |
| edit "mgmt-trust-net-10.10.10.0-28" | | edit 1 |
| set subnet 10.10.10.0/28
| | set action accept |
| set color 6 | | set src 198.18.250.0/24 |
| next
| | set dport 443 <--- WebGui Adminport |
| | next |
| | edit 2 |
| | set action accept |
| | set src 198.18.250.0/24 |
| | set dport 22 <--- SSH Adminport |
| | next |
| | edit 3 |
| | set action accept |
| | set src 10.250.17.2/32 |
| | set dport 541 <--- Erlaube nur TCP/541 von bekannten FortiGate-IP-Adressen. |
| | next |
| | edit 4 |
| | next |
| end | | end |
| </pre> | | </pre> |
| |}
| | {| class="wikitable" style="width:750px" |
| '''Gruppen Objekt erstellen:'''
| |
| {| class="wikitable" | |
| ! style=" width:550px; text-align:left; background:#89E871" |Konfiguration über CLI
| |
| |- | | |- |
| | | | | style="width:50px;background-color: #276ef1;"| <span>[[File:info.svg|50px|link=]]</span> |
| <pre style="background-color:#252269;color: #FFFFFF">
| | | style="background-color: #A9C5F9"| |
| config firewall addrgrp
| | Es ist wichtig zu beachten, dass die Regel '''4''' im Beispiel alle Einstellungen auf "Standard" hat.</br> |
| edit "gr_trust-mgmt-addr"
| | Dadurch wird diese zu einer expliziten Drop-Regel, die den Zugriff von allen anderen IP-Adressen blockiert. |
| set member "mgmt-addr-1"
| |
| set color 6
| |
| end
| |
| </pre> | |
| ''Zum Beispiel:''
| |
| <pre style="background-color:#252269;color: #FFFFFF">
| |
| config firewall addrgrp
| |
| edit "gr_trust-mgmt-addr"
| |
| set member "mgmt-trust-net-10.10.10.0-28"
| |
| set color 6
| |
| end
| |
| </pre>
| |
| |} | | |} |
| '''Custom Service erstellen:''' (Falls Adminport nicht Default Wert hat.)
| |
| {| class="wikitable"
| |
| ! style=" width:550px; text-align:left; background:#89E871" |Konfiguration über CLI
| |
| |-
| |
| |
| |
| <pre style="background-color:#252269;color: #FFFFFF">
| |
| config firewall service custom
| |
| edit TCP-4443
| |
| set color 2
| |
| set tcp-portrange 4443:1024-65535
| |
| end
| |
| </pre>
| |
| |}
| |
| '''LocalIn Policy auf das Managment Interface erstellen:''' (in unserem Beispiel internal5)
| |
| {| class="wikitable"
| |
| ! style=" width:750px; text-align:left; background:#89E871" |Konfiguration über CLI
| |
| |-
| |
| |
| |
| <pre style="background-color:#252269;color: #FFFFFF">
| |
| config firewall local-in-policy
| |
| edit 0
| |
| set intf "internal5" <-- Management Interface z.B internal5
| |
| set srcaddr "gr_trust-mgmt-addr"
| |
| set dstaddr "all"
| |
| set action deny
| |
| set service TCP-4443 HTTP
| |
| set schedule "always”
| |
| set status enable
| |
| next
| |
| edit 0
| |
| set intf "any"
| |
| set srcaddr "all"
| |
| set dstaddr "all"
| |
| set action deny
| |
| set service TCP-4443 HTTP
| |
| set schedule "always”
| |
| set status enable
| |
| end
| |
| </pre>
| |
| |} | | |} |
|
| |
|
| Wenn ein HA Cluster mit dediziertem mgmt Interface benutzt wird, muss in der LocalIn Policy noch folgendes konfiguriert werden:
| | Weitere Informationen betreffend Local-In-Regeln auf dem FortiManager findet man im CLI Guide: |
| {| class="wikitable"
| | * https://docs.fortinet.com/document/fortimanager/7.6.0/cli-reference/68140/local-in-policy |
| ! style=" width:750px; text-align:left; background:#89E871" |Konfiguration über CLI
| |
| |-
| |
| |
| |
| <pre style="background-color:#252269;color: #FFFFFF">
| |
| config firewall local-in-policy
| |
| edit 0
| |
| set ha-mgmt-intf-only enable
| |
| </pre>
| |
| |}
| |
| Genaue Beschreibung in diesem KB Artikel:<br>
| |
| * https://community.fortinet.com/t5/FortiGate/Technical-Tip-How-to-configure-a-local-in-policy-on-a-HA/ta-p/222005 | |
|
| |
|
| Mehr Infos über LocalIn Regeln in [[FortiGate:FAQ#Wie_kann_ich_eine_manuelle_Local-In_Policy_konfigurieren.3F|diesem Wiki FAQ Artikel.]]<br>
| | '''Massnahme 3''':</br> |
| Dieser Workaround sollte eigentlich auf jeder FortiGate sowieso konfiguriert werden um den Zugriff extern einzuschränken. Besser noch ist es die FortiGate aus Externen Netzen nicht direkt anzusprechen.
| | Für Versionen 7.2.2 und höher, 7.4.0 und höher, 7.6.0 und höher ist es auch möglich, ein benutzerdefiniertes Zertifikat zu verwenden, um die Sicherheitslücke zu beheben: |
|
| |
|
| ----
| | {| class="wikitable" style="width:850px" |
| Mehr Infos:
| | |- style="background:#89E871" |
| Psirt Fortinet:
| | | [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:''' |
| * https://www.fortiguard.com/psirt/FG-IR-23-001
| |
| CVE:
| |
| * https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-25610
| |
| * https://cve.report/CVE-2023-25610
| |
| Heise DE:
| |
| * https://www.heise.de/news/Patchday-Kritische-Luecke-in-FortiOS-und-FortiProxy-geschlossen-7538910.html
| |
| ----
| |
| <small>edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu</small>
| |
| |}
| |
| | |
| {| class="wikitable" style="width:100%" | |
| |- | | |- |
| | style="width:100px;background-color: #f2f79d;vertical-align:top"| <span style="color:#ffbb98">[[File:vulnerability.svg|100px|link=]]</span>
| | | |
| |
| |
| | |
| ===FortiOS & FortiProxy - Access of NULL pointer in SSLVPNd - CVE-2022-45861===
| |
| [[Datei:new.svg|40px|link=]]
| |
| ----
| |
| '''Beschreibung:'''<br>
| |
| Eine Schwachstelle in Form eines nicht initialisierten Pointer [CWE-824] im SSL-VPN-Portal vom FortiOS und FortiProxyOS,
| |
| kann es einem remote authentifizierten Angreifer ermöglichen,
| |
| den sslvpn-Daemon über eine HTTP-GET-Anfrage zum Absturz zu bringen.<br>
| |
| '''Betroffene FortiOS Versionen:'''<br>
| |
| * FortiOS Version 7.2.0 bis 7.2.3
| |
| * FortiOS Version 7.0.0 bis 7.0.9
| |
| * FortiOS Version 6.4.0 bis 6.4.11
| |
| * alle FortiOS 6.2 Versionen (6.2.0-6.2.13)
| |
| * FortiProxy OS Version 7.2.0 bis 7.2.1
| |
| * FortiProxy OS Version 7.0.0 bis 7.0.7
| |
| * FortiProxy OS Version 2.0.0 bis 2.0.11
| |
| * alle FortiProxy OS 1.2 Versionen
| |
| * alle FortiProxy OS 1.1 Versionen
| |
| | |
| | |
| '''Lösung:'''<br>
| |
| * Updaten auf die FortiOS Version 7.2.4 oder höhere Versionen
| |
| * Updaten auf die FortiOS Version 7.0.10 oder höhere Versionen
| |
| * Updaten auf die FortiOS Version 6.4.12 oder höhere Versionen
| |
| * Updaten auf die FortiProxy OS Version 7.2.2 oder höhere Versionen
| |
| * Updaten auf die FortiProxy OS Version 7.0.8 oder höhere Versionen
| |
| * Updaten auf die FortiProxy OS Version 2.0.12 oder höhere Versionen
| |
| ----
| |
| Mehr Infos:
| |
| Psirt Fortinet:
| |
| * https://www.fortiguard.com/psirt/FG-IR-22-477
| |
| CWE:
| |
| * https://cwe.mitre.org/data/definitions/824.html
| |
| CVE:
| |
| * https://nvd.nist.gov/vuln/detail/CVE-2022-45861
| |
| * https://cve.report/CVE-2022-45861
| |
| ----
| |
| <small>add 08.03.2023 - 4Tinu </small>
| |
| <!-- <small>edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu</small>-->
| |
| |}
| |
| | |
| {| class="wikitable" style="width:100%"
| |
| |-
| |
| | style="width:100px;background-color: #f2f79d;vertical-align:top"| <span style="color:#ffbb98">[[File:vulnerability.svg|100px|link=]]</span>
| |
| |
| |
| | |
| ===FortiOS - Heap-based Buffer Ueberlauf im sslvpnd - CVE-2022-42475===
| |
| ----
| |
| '''Beschreibung:'''<br>
| |
| Eine Heap-basierte Pufferüberlauf-Schwachstelle [CWE-122] in FortiOS SSL-VPN kann es einem nicht authentifierten Remote Angreifer erlauben, mit speziell gestalteten Anfragen beliebigen Code oder Befehle auszuführen.
| |
| | |
| '''Betroffene FortiOS Versionen:'''<br>
| |
| * FortiOS Version 7.2.0 bis 7.2.2
| |
| * FortiOS Version 7.0.0 bis 7.0.8
| |
| * FortiOS Version 6.4.0 bis 6.4.10
| |
| * FortiOS Version 6.2.0 bis 6.2.11
| |
| * ''FortiOS Version 6.0.0 bis 6.0.15''
| |
| * ''FortiOS Version 5.6.0 bis 5.6.14''
| |
| * ''FortiOS Version 5.4.0 bis 5.4.13''
| |
| * ''FortiOS Version 5.2.0 bis 5.2.15''
| |
| * ''FortiOS Version 5.0.0 bis 5.0.14''
| |
| * FortiOS-6K7K Version 7.0.0 bis 7.0.7
| |
| * FortiOS-6K7K Version 6.4.0 bis 6.4.9
| |
| * FortiOS-6K7K Version 6.2.0 bis 6.2.11
| |
| * FortiOS-6K7K Version 6.0.0 bis 6.0.14
| |
| Notification im FortiOS 7.2.x:
| |
| [[File:Fortinet-3258.jpg|750px|link=]]
| |
| | |
| '''Lösung:'''<br>
| |
| * Updaten auf die FortiOS Version 7.2.3 oder höhere Versionen
| |
| * Updaten auf die FortiOS Version 7.0.9 oder höhere Versionen
| |
| * Updaten auf die FortiOS Version 6.4.11 oder höhere Versionen
| |
| * Updaten auf die FortiOS Version 6.2.12 oder höhere Versionen
| |
| * Updaten auf die FortiOS Version 6.0.16 oder höhere Versionen
| |
| * Updaten auf die FortiOS-6K7K Version 7.0.8 oder höhere Versionen
| |
| * Updaten auf die FortiOS-6K7K Version 6.4.10 oder höhere Versionen
| |
| * Updaten auf die FortiOS-6K7K Version 6.2.12 oder höhere Versionen
| |
| * Updaten auf die FortiOS-6K7K Version 6.0.15 oder höhere Versionen
| |
| | |
| '''Weitere Massnahmen:'''<br>
| |
| Falls nicht benötigt den SSL-VPN Dienst deaktivieren
| |
| | |
| Weiter können LocalIn Policies erstellt werden um die im PSIRT Artikel angegebenen IP Adressen zu blockieren:
| |
| | |
| Verbindungen zu verdächtigen IP-Adressen von FortiGate aus:
| |
| | |
| * 188.34.130.40
| |
| * 103.131.189.143
| |
| * 193.36.119.61
| |
| * 172.247.168.153
| |
| * 139.180.184.197
| |
| * 66.42.91.32
| |
| * 158.247.221.101
| |
| * 107.148.27.117
| |
| * 139.180.128.142
| |
| * 155.138.224.122
| |
| * 185.174.136.20
| |
| Folgende Services wurden dafür verwendet. Falls diese nicht andersweitig verwendet werden können diese auch geblockt werden:
| |
| * tcp 444
| |
| * tcp 8033
| |
| * tcp 20443
| |
| * tcp 30080
| |
| * tcp 30081
| |
| * tcp 30443
| |
| | |
| {| class="wikitable"
| |
| ! style="text-align:left; background:#89E871" |Konfiguration über CLI
| |
| |-
| |
| |
| |
| <pre style="background-color:#252269;color: #FFFFFF">
| |
| | |
| # Erstellen IP Adress Objekte gemäss Liste https://www.fortiguard.com/psirt/FG-IR-22-398 (stand 14.12.2022)
| |
| | |
| config firewall address
| |
| edit "ext-suspectIP_188.34.130.40"
| |
| set comment "FG-IR-22-398"
| |
| set color 6
| |
| set subnet 188.34.130.40 255.255.255.255
| |
| next
| |
| edit "ext-suspectIP_103.131.189.143"
| |
| set comment "FG-IR-22-398"
| |
| set color 6
| |
| set subnet 103.131.189.143 255.255.255.255
| |
| next
| |
| edit "ext-suspectIP_192.36.119.61"
| |
| set comment "FG-IR-22-398"
| |
| set color 6
| |
| set subnet 192.36.119.61 255.255.255.255
| |
| next
| |
| edit "ext-suspectIP_172.247.168.153"
| |
| set comment "FG-IR-22-398"
| |
| set color 6
| |
| set subnet 172.247.168.153 255.255.255.255
| |
| next
| |
| end
| |
| | |
| | |
| # Erstellen Adressgruppe welche in der LocalIn Policy verwendet wird
| |
| | |
| config firewall addrgrp
| |
| edit "gr_suspectIP-FG-IR-22-398"
| |
| set member "ext-suspectIP_103.131.189.143" "ext-suspectIP_172.247.168.153" "ext-suspectIP_188.34.130.40" "ext-suspectIP_192.36.119.61"
| |
| set comment "https://www.fortiguard.com/psirt/FG-IR-22-398"
| |
| set color 6
| |
| next
| |
| end
| |
| | |
| | |
| # Konfiguration LocalIn Policy mit allen Services
| |
| | |
| config firewall local-in-policy
| |
| edit 0
| |
| set intf "any"
| |
| set srcaddr "gr_suspectIP-FG-IR-22-398"
| |
| set dstaddr "all"
| |
| set service "ALL"
| |
| set schedule "always"
| |
| set comments "FG-IR-22-398"
| |
| next
| |
| edit 0
| |
| set intf "any"
| |
| set srcaddr "all"
| |
| set dstaddr "gr_suspectIP-FG-IR-22-398"
| |
| set service "ALL"
| |
| set schedule "always"
| |
| set comments "FG-IR-22-398"
| |
| next
| |
| end
| |
| </pre>
| |
| |}
| |
| Wie man LocalIn Regeln konfiguriert findet man in diesem Wiki Artikel:
| |
| *[[FortiGate:FAQ#Was_ist_eine_Local-In_Policy.3F|Was ist eine LocalIn Policy?]]
| |
| *[[FortiGate:FAQ#Wie_kann_ich_eine_manuelle_Local-In_Policy_konfigurieren.3F|Wie kann ich eine manuelle LocalIn Policy konfigurieren?]]
| |
| | |
| Weiter können noch zwei Firewall Regeln auf der FortiGate erstellt werden in den IPv4 Regeln. Dabei wird ausgehender und eingehender Traffic auf und zu den erfassten IP Adressen generell blockiert. Diese Regeln müssen zuoberst im Regelwerk eingefügt werden.
| |
| | |
| [[Datei:Policy-FG-IR-22-398.jpg|1000px|link=]]
| |
|
| |
| Diese Regeln benutzen die selben Firewall Adressobjekte wie die LocalIn Policy, können also gleich verwendet werden.
| |
| {| class="wikitable"
| |
| ! style="text-align:left; background:#89E871" |Konfiguration über CLI
| |
| |-
| |
| | | |
| <pre style="background-color:#252269;color: #FFFFFF"> | | <pre style="background-color:#252269;color: #FFFFFF"> |
| config firewall policy | | config system global |
| edit 0
| | set fgfm-ca-cert <Zertifikat> |
| set name "IN__FG-IR-22-398"
| | set fgfm-cert-exclusive enable |
| set srcintf "any"
| |
| set dstintf "any"
| |
| set srcaddr "gr_suspectIP-FG-IR-22-398"
| |
| set dstaddr "all"
| |
| set schedule "always"
| |
| set service "ALL"
| |
| set logtraffic all
| |
| set comments "Block Incomming from suspicious IP -- CVE-2022-42475"
| |
| next
| |
| edit 0
| |
| set name "OUT__FG-IR-22-398" | |
| set srcintf "any"
| |
| set dstintf "any"
| |
| set srcaddr "all" | |
| set dstaddr "gr_suspectIP-FG-IR-22-398"
| |
| set schedule "always"
| |
| set service "ALL"
| |
| set logtraffic all
| |
| set comments "Block outgoing to suspicious IP -- CVE-2022-42475"
| |
| next
| |
| end | | end |
| </pre> | | </pre> |
| |} | | |} |
| Weitere Massnahmen:
| | *Installiere dieses Zertifikat auf den FortiGate-Geräten. |
| * https://community.fortinet.com/t5/FortiGate/Technical-Tip-Critical-vulnerability-Protect-against-heap-based/ta-p/239420 | | *Nur dieses CA-Zertifikat wird akzeptiert. |
| Hier kann auch das ganze Template als Datei heruntergeladen werden:
| | *Dies bietet einen zusätzlichen Schutz, sofern der Angreifer kein Zertifikat erhält, das von dieser CA signiert wurde. |
| * [[Datei:TMP-fgt_Policy_drop-address_FG-IR-22-398.txt]]
| | {| class="wikitable" style="width:850px" |
| ----
| |
| Mehr Infos:
| |
| * https://www.fortiguard.com/psirt/FG-IR-22-398
| |
| CVE:
| |
| * https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-42475 | |
| Heise DE:
| |
| * https://www.heise.de/news/Jetzt-patchen-Kritische-Zero-Day-Luecke-in-FortiOS-wird-angegriffen-7392455.html | |
| ----
| |
| <small>edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu</small>
| |
| |}
| |
| | |
| {| class="wikitable" style="width:100%"
| |
| |-
| |
| | style="width:100px;background-color: #f2f79d;vertical-align:top"| <span style="color:#ffbb98">[[File:vulnerability.svg|100px|link=]]</span>
| |
| |
| |
| | |
| ===FortiOS und FortiProxy - Umgehung der SSH-Authentifizierung bei RADIUS-Authentifizierung - CVE-2022-35843===
| |
| [[Datei:new.svg|40px|link=]]
| |
| ----
| |
| '''Beschreibung:'''<br>
| |
| Eine Schwachstelle [CWE-302] in der FortiOS SSH-Anmeldekomponente, die eine Umgehung der Authentifizierung durch angenommene unveränderliche Daten ermöglicht, kann es einem entfernten und nicht authentifizierten Angreifer erlauben, sich in das Gerät einzuloggen, indem er eine speziell gestaltete Access-Challenge-Antwort vom Radius-Server sendet.
| |
| | |
| '''Betroffene Produkte:'''<br>
| |
| * FortiOS Version 7.2.0
| |
| * FortiOS Version 7.0.0 bis 7.0.7
| |
| * FortiOS Version 6.4.0 bis 6.4.0
| |
| * FortiOS 6.2 alle Versionen
| |
| * FortiOS 6.0 alle Versionen
| |
| * FortiProxy Version 7.0.0 bis 7.0.5
| |
| * FortiProxy Version 2.0.0 bis 2.0.10
| |
| * FortiProxy Alle Versionen 1.2.0
| |
| | |
| '''Lösung:'''
| |
| * Upgradeden auf die FortiOS Version 7.2.2 oder höher
| |
| * Upgradeden auf die FortiOS Version 7.0.8 oder höher
| |
| * Upgradeden auf die FortiOS Version 6.4.10 oder höher
| |
| * FortiProxy upgraden auf Version 7.0.7 oder höher
| |
| * FortiProxy upgraden 2.0.11 oder höher
| |
| | |
| ----
| |
| Mehr Infos:
| |
| * https://cwe.mitre.org/data/definitions/302.html
| |
| * https://www.fortiguard.com/psirt/FG-IR-22-255
| |
| CVE:
| |
| * https://cve.report/CVE-2022-35843
| |
| Heise DE:
| |
| * https://www.heise.de/news/Fortinet-schliesst-Sicherheitsluecken-in-mehreren-Produkten-7368520.html
| |
| ----
| |
| <small>edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu</small>
| |
| |}
| |
| {| class="wikitable" style="width:100%"
| |
| |-
| |
| | style="width:100px;background-color: #f2f79d;vertical-align:top"| <span style="color:#ffbb98">[[File:vulnerability.svg|100px|link=]]</span>
| |
| |
| |
| | |
| ===OpenSSL3 critical vulnerability - CVE-2022-3602 und CVE-2022-3786===
| |
| ----
| |
| Zwei Lücken im X.509-Parser die in den folgenden CVE erläutert werden, können mit der Version OpenSSL 3.0.7 geschlossen werden:
| |
| | |
| * CVE-2022-3602
| |
| * CVE-2022-3786
| |
| | |
| '''Betroffene Produkte:'''
| |
| | |
| Basierend auf den derzeit öffentlich zugänglichen Informationen:
| |
| | |
| * '''Check Point Produkte''' sind NICHT anfällig für die neuesten OpenSSL-Schwachstellen
| |
| * Die folgenden '''Fortinet Produkte''' sind '''NICHT''' betroffen:
| |
| **FortiOS Alle Versionen bis 7.2.0 (inklusive)
| |
| **FortiADC
| |
| **FortiADCManager
| |
| **FortiAIOps
| |
| **FortiAnalyzer
| |
| **FortiAnalyzer-BigData
| |
| **FortiAP
| |
| **FortiAP-C
| |
| **FortiAP-S
| |
| **FortiAP-U
| |
| **FortiAuthenticator
| |
| **FortiCASB
| |
| **FortiCentral
| |
| **FortiClientEMS
| |
| **FortiClientLinux
| |
| **FortiClientMac
| |
| **FortiClientWindows
| |
| **FortiConnect
| |
| **FortiConverter
| |
| **FortiDeceptor
| |
| **FortiDevSec
| |
| **FortiEdge
| |
| **FortiEDR
| |
| **FortiFone
| |
| **FortiGuest
| |
| **FortiInsight
| |
| **FortiIsolator
| |
| **FortiLANCloud
| |
| **FortiMail
| |
| **FortiManager
| |
| **FortiMoM
| |
| **FortiNAC
| |
| **FortiNDR
| |
| **FortiPAM
| |
| **FortiPentest
| |
| **FortiPhish
| |
| **FortiPolicy
| |
| **FortiPortal
| |
| **FortiPresence
| |
| **FortiProxy
| |
| **FortiRecorder
| |
| **FortiSandbox
| |
| **FortiSIEM
| |
| **FortiSOAR
| |
| **FortiTester
| |
| **FortiTokenAndroid
| |
| **FortiTokenIOS
| |
| **FortiVoiceEnterprise
| |
| **FortiVoiceUC
| |
| **FortiVoiceUCDesktop
| |
| **FortiWAN
| |
| **FortiWeb
| |
| **FortiWebManager
| |
| **FortiWLC
| |
| **FortiWLM
| |
| **FortiSASE
| |
| **FortiSwitchManager
| |
| **FortiToken Cloud
| |
| **FortiWebCloud
| |
| **FortiAPCloud
| |
| **FortiCloud
| |
| **FortiDDoS-F
| |
| **FortiDDoS
| |
| **FortiDeceptor
| |
| **FortiSwitch
| |
| **FortiSandbox Cloud
| |
| Die folgenden Produkte werden noch untersucht:
| |
| *FortiOS v7.2.1 and v7.2.2
| |
| *FortiClient Cloud
| |
| *FortiAnalyzer Cloud
| |
| *FortiSwitch Cloud
| |
| *FortiManager Cloud
| |
| *FortiExtender Cloud
| |
| | |
| <big>Es sind momentan keine Massnahmen notwendig. Fortinet Produkte sind bis zum jetzigen Zeitpunkt nicht betroffen.</big>
| |
| | |
| Mehr Infos:
| |
| * https://www.helpnetsecurity.com/2022/10/26/openssl-3-0-7-vulnerability-critical-fix/
| |
| * https://fortiguard.fortinet.com/psirt/FG-IR-22-419
| |
| * https://blog.checkpoint.com/2022/11/01/openssl-vulnerability-cve-2022-3602-remote-code-execution-and-cve-2022-3786-denial-of-service-check-point-research-update/
| |
| | |
| CVE:
| |
| * https://nvd.nist.gov/vuln/detail/CVE-2022-3786
| |
| * https://nvd.nist.gov/vuln/detail/CVE-2022-3602
| |
| | |
| * https://www.openssl.org/news/secadv/20221101.txt
| |
| ----
| |
| <small>''edit 04.11.2022 - 4Tinu''</small>
| |
| |}
| |
| {| class="wikitable" style="width:100%"
| |
| |-
| |
| | style="width:100px;background-color: #f2f79d;vertical-align:top"| <span style="color:#ffbb98">[[File:vulnerability.svg|100px|link=]]</span>
| |
| |
| |
| | |
| ===Vulnerability FortiOS 7.0 und 7.2 WAN-Admin-Interface - CVE-2022-40684===
| |
| [[Datei:new.svg|40px|link=]]
| |
| ----
| |
| <big>'''Kritischer Authentifizierungs-Bypass im FortiOS und FortiProxyOS'''</big><br>
| |
| '''Generell:'''<br>
| |
| Eine Sicherheitslücker erlaubt es, dass externe User sich Zugriff mit einer manipulierten URL Zugriff ohne Authentifizierung auf die Administrationskonsole der Fortigate erhalten können.<br>
| |
| '''Betroffene Systeme:'''
| |
| * FortiGate Modelle
| |
| * FortiWifi Modelle
| |
| * FortiProxy Modelle
| |
| * FortiSwitchManager
| |
| '''Betroffene Software Versionen:'''
| |
| * FortiOS: 7.0.0 bis 7.0.6
| |
| * FortiOS: 7.2.0 bis 7.2.1
| |
| * FortiProxy: 7.0.0 bis 7.0.6
| |
| * FortiProxy: 7.2.0
| |
| * FortiSwitchManager : 7.0.0
| |
| * FortiSwitchManager : 7.2.0
| |
| {| class="wikitable" style="width:550px" | |
| |- | | |- |
| | style="width:50px;background-color: #276ef1;"| <span>[[File:info.svg|50px|link=]]</span> | | | style="width:50px;background-color: #276ef1;"| <span>[[File:info.svg|50px|link=]]</span> |
| | style="background-color: #A9C5F9"| | | | style="background-color: #A9C5F9"| |
| Die FortiOS Versionen 5.x und 6.x sind von dieser Verwundbarkeit nicht betroffen. Denoch empfiehlt es sich den Zugriff über das WAN zu deaktivieren und den Zugriff dediziert über ein Out of Band Management (OOB) Interface zu konfigurieren.
| | Für FortiManager-Versionen 6.2, 6.4 und 7.0.11 und darunter, führe bitte ein Upgrade auf eine der oben genannten Versionen durch und wende die entsprechenden Workarounds an. |
| |} | | |} |
| '''Lösung:'''
| |
| Upgraden auf mindestens folgende OS Versionen
| |
| * FortiOS 7.0.7 oder '''7.0.8'''
| |
| * FortiOS 7.2.2
| |
| * FortiProxy 7.0.7
| |
| * FortiProxy : 7.2.1
| |
| * FortiSwitchManager : 7.2.1
| |
| Ist der Upgrade nicht möglich, kann mit folgenden Workarounds temporäre Abhilfe geschaft werden:
| |
| ---- | | ---- |
| '''FortiGate:'''<br> | | '''Weitere Informationen findet man unter folgenden externen Artikeln:'''<br> |
| * Deaktivieren des Management auf den WAN Interfaces (oder den Interfaces welche direkten Internetzugriff haben)
| | <small> |
| Wenn das Management auf dem WAN Inteface unbedingt benönigt wird, mittels manuelen LocalIn Regeln den Zugriff auf das Management beschränken.<br>
| | PSIRT - FortiGuard: |
| Eine kurze Anleitung wie man die LocalIn Regeln erstellt:
| | * https://fortiguard.fortinet.com/psirt/FG-IR-24-423 <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small> |
| # IP Adressen und IP Netze definieren, die von extern Zugreifen dürfen:
| | Informationen CVE-2024-47575 |
| # Eine Adressgruppe definieren und die vorher definierten Netze hinzufügen.
| | * https://www.cve.org/CVERecord?id=CVE-2024-47575 <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small> |
| # Service konfigurieren, welcher als Administrationsport definiert ist. Z.B. tcp4443
| | Informationen auf Heise.de: |
| # Wenn alle Objekte erfasst sind, kann die LocalIn Regel für die erlaubten Adressen konfiguriert werden.
| | * https://www.heise.de/news/FortiManager-Update-schliesst-offenbar-bereits-attackierte-Sicherheitsluecke-9990393.html <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small> |
| # Danach eine zweite LocalIn Policy erfassen, welche von Any auf Any die Services blockiert.
| | Google: |
| Zu beachten, wenn mehrere ISPs angebunden sind (SD-WAN) muss das ganze natürlich auf alle im Internet angebundenen Interfaces diese beiden Regeln gemacht werden.
| | * https://cloud.google.com/blog/topics/threat-intelligence/fortimanager-zero-day-exploitation-cve-2024-47575/?hl=en <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small> |
| | | </small> |
| '''Adressobjekte erstellen:'''
| |
| {| class="wikitable"
| |
| ! style=" width:550px; text-align:left; background:#89E871" |Konfiguration über CLI
| |
| |-
| |
| |
| |
| <pre style="background-color:#252269;color: #FFFFFF">
| |
| config firewall address
| |
| edit "ext-mgmt-addr-1"
| |
| set subnet <IP-ADRESSE><NETZ-MASKE>
| |
| set color 6
| |
| next
| |
| end
| |
| </pre>
| |
| ''Zum Beispiel:''
| |
| <pre style="background-color:#252269;color: #FFFFFF">
| |
| config firewall address
| |
| edit "ext-1.1.1.0-28"
| |
| set subnet 1.1.1.0/28
| |
| set color 6
| |
| next
| |
| end
| |
| </pre>
| |
| |}
| |
| '''Gruppen Objekt erstellen:'''
| |
| {| class="wikitable"
| |
| ! style=" width:550px; text-align:left; background:#89E871" |Konfiguration über CLI
| |
| |-
| |
| |
| |
| <pre style="background-color:#252269;color: #FFFFFF">
| |
| config firewall addrgrp
| |
| edit "gr_ext-mgmt-addr"
| |
| set member "ext-mgmt-addr-1"
| |
| set color 6
| |
| end
| |
| </pre> | |
| ''Zum Beispiel:'' | |
| <pre style="background-color:#252269;color: #FFFFFF"> | |
| config firewall addrgrp
| |
| edit "gr_ext-mgmt-addr"
| |
| set member "ext-1.1.1.0-28"
| |
| set color 6
| |
| end
| |
| </pre> | |
| |}
| |
| '''Service erstellen:'''
| |
| {| class="wikitable"
| |
| ! style=" width:550px; text-align:left; background:#89E871" |Konfiguration über CLI
| |
| |-
| |
| |
| |
| <pre style="background-color:#252269;color: #FFFFFF"> | |
| config firewall service custom
| |
| edit TCP-4443
| |
| set color 2
| |
| set tcp-portrange 4443:1024-65535
| |
| end
| |
| </pre> | |
| |}
| |
| '''LocalIn Policy für wan1 erstellen:'''
| |
| {| class="wikitable"
| |
| ! style=" width:750px; text-align:left; background:#89E871" |Konfiguration über CLI
| |
| |-
| |
| |
| |
| <pre style="background-color:#252269;color: #FFFFFF">
| |
| config firewall local-in-policy
| |
| edit 0
| |
| set intf "wan1" <-- NAME des Interfaces welches direkten Internetzugang hat.
| |
| set srcaddr "gr_ext-mgmt-addr"
| |
| set dstaddr "all"
| |
| set action deny
| |
| set service TCP-4443 HTTP
| |
| set schedule "always”
| |
| set status enable
| |
| next
| |
| edit 0
| |
| set intf "all"
| |
| set srcaddr "all"
| |
| set dstaddr "all"
| |
| set action deny
| |
| set service TCP-4443 HTTP
| |
| set schedule "always”
| |
| set status enable
| |
| end
| |
| </pre> | |
| |}
| |
| | |
| Wenn ein HA Cluster mit dediziertem mgmt Interface benutzt wird, muss in der LocalIn Policy noch folgendes konfiguriert werden:
| |
| {| class="wikitable"
| |
| ! style=" width:750px; text-align:left; background:#89E871" |Konfiguration über CLI
| |
| |-
| |
| |
| |
| <pre style="background-color:#252269;color: #FFFFFF">
| |
| config firewall local-in-policy
| |
| edit 0 | |
| set ha-mgmt-intf-only enable
| |
| </pre>
| |
| |}
| |
| Genaue Beschreibung in diesem KB Artikel:<br>
| |
| * https://community.fortinet.com/t5/FortiGate/Technical-Tip-How-to-configure-a-local-in-policy-on-a-HA/ta-p/222005 | |
| | |
| Mehr Infos über LocalIn Regeln in [[FortiGate:FAQ#Wie_kann_ich_eine_manuelle_Local-In_Policy_konfigurieren.3F|diesem Wiki FAQ Artikel.]]<br>
| |
| Dieser Workaround sollte eigentlich auf jeder FortiGate sowieso konfiguriert werden um den Zugriff extern einzuschränken. Besser noch ist es die FortiGate aus Externen Netzen nicht direkt anzusprechen.
| |
| | |
| Auf der FortiGate erscheint ein Hinweis, wenn eine Software Version installiert ist, welche betroffen ist.
| |
| [[Datei:Fortinet-3245.jpg|350px|link=]]
| |
| | |
| [[Datei:Fortinet-3246.jpg|550px|link=]]
| |
| | |
| [[Datei:Fortinet-3247.jpg|550px|link=]]
| |
| ----
| |
| '''FortiProxy'''<br>
| |
| Das Management für HTTP und HTTPS deaktivieren auf den exteren Interfaces<br>
| |
| Zusätzlich den Zugriff auf nur vertrauenswürdige IP Adressen einschränken:
| |
| {| class="wikitable"
| |
| ! style=" width:550px; text-align:left; background:#89E871" |Konfiguration über CLI
| |
| |-
| |
| |
| |
| <pre style="background-color:#252269;color: #FFFFFF">
| |
| config system interface
| |
| edit port1
| |
| set dedicated-to management
| |
| set trust-ip-1 [IP-ADRESSE] [NETZMASKE]
| |
| end
| |
| </pre> | |
| zum Beispiel:
| |
| <pre style="background-color:#252269;color: #FFFFFF"> | |
| config system interface
| |
| edit port1
| |
| set dedicated-to management
| |
| set trust-ip-1 198.18.152.0 255.255.255.240
| |
| end
| |
| </pre> | |
| |}
| |
| ----
| |
| '''FortiSwitchManager:'''<br>
| |
| Auf dem externen Administrationsinterface den HTTP und HTTPS Acces deaktivieren
| |
| ----
| |
| | |
| <big>'''Bin ich von einem Angriff betroffen?'''</big>
| |
| | |
| Um zu überprüfen ob das System bereits kompromittiert wurde sollte die Administratioren Liste angeschaut werden. Prüft ob ein neuer Admin erstellt wurde.<br>
| |
| Folgende Administratoren wurden bereits auf System gefunden:
| |
| * Report Runner
| |
| * Fortinet_Support
| |
| * fortigate-tech-support
| |
| * fortinet-tech-support
| |
| * fortinet_admin
| |
| * webadmin
| |
| * it.admin75 <-- Die Zahl ist Zufällig gewählt
| |
| | |
| Falls solche User vorhanden sind, überprüft das EventLog auf aktionen welche diese Administratoren ausgeführt haben.<br>
| |
| | |
| Menu ''System Events --> General System Events'' --> Filter beim Feld ''Log Description'' nach ''Admin loging successful'' durchsuchen
| |
| * Überprüfe ob irgendwelche Aktionen welche nich autoriziert sind durchgeführt wurden
| |
| Weiter im Menu ''System Events --> General System Events --> den Filter der User nach "Local_Process_Access" setzen
| |
| * Überprüfe ob unerwartetete Einträge im Log sichtbar sind. Ist dies der Fall, prüfe welche Aktionen auf der FortiGate durchgeführt wurden.
| |
| [[Datei:Fortinet-3248.jpg|750px|link=]]
| |
| | |
| Vergleicht die Konfiguration mit einer aktuellen Backupdatei und sucht nach Differenzen.<br>
| |
| Hifreich dafür ist ein TextEditor wie PSPAD mit der Funktion ''Werkzeuge--> Textvergleich''<br>
| |
| Die differenzen werden dann hervorgehoben. in diesem Beispiel handelt es sich nicht um eine kompromittierte Datei, es geht nur um die veranschauung:
| |
| [[Datei:Fortinet-3244.jpg|350px|link=]]
| |
| Den PSPAD Editor kann man unter folgendem Link herunterladen: https://www.pspad.com/de/
| |
| | |
| Um sicher zu stellen, dass ausgelesene Passwörter, Keys Zertifikate nicht geleackt werden können, muss überprüft werden ob die folgende Option aktiviert ist:
| |
| {| class="wikitable"
| |
| ! style=" width:550px; text-align:left; background:#89E871" |Konfiguration über CLI
| |
| |-
| |
| |
| |
| config system global
| |
| set private-data-encryption '''enable''' <-- Default mässig ist diese Option deaktiviert
| |
| end
| |
| |}
| |
| {| class="wikitable" style="width:80%"
| |
| |-
| |
| | style="width:50px;background-color: #FF7730;"| <span>[[File:wichtig.svg|50px|link=]]</span>
| |
| | style="background-color: #FFB991"|
| |
| Ist diese Option '''nicht aktiviert''', sofort alle Passwörter wie Adminuser, Lokale User, Preshared Keys von IPSEC Tunnels, Preshared Keys von SSIDs, RADIUS-Secrets, usw '''ändern''' und Zertifkate '''sperren''' lassen.<br>
| |
| Mehr informationen : https://www.fortiguard.com/psirt/FG-IR-19-007
| |
| |}
| |
| ----
| |
| '''Mehr Informationen findet man auf diesen externen Links:'''<br>
| |
| Customer Support Bulletin CSB-221006-1
| |
| * https://support.fortinet.com/Information/Bulletin.aspx
| |
| Fortinet:
| |
| * https://community.fortinet.com/t5/Fortinet-Forum/Need-information-on-CSB-221006-1/td-p/225974
| |
| * https://www.fortiguard.com/psirt/FG-IR-22-377
| |
| * https://www.fortinet.com/blog/psirt-blogs/update-regarding-cve-2022-40684
| |
| Tenable:
| |
| * https://www.tenable.com/blog/cve-2022-40684-critical-authentication-bypass-in-fortios-and-fortiproxy
| |
| Heise DE:
| |
| * https://www.heise.de/news/Kritische-Sicherheitsluecke-in-Fortinet-Firewalls-erlaubt-Admin-Zugriff-7288810.html | |
| ----
| |
| <small>''edit 18.10.2022 - 4Tinu''</small> | |
| |}
| |
| {| class="wikitable" style="width:100%"
| |
| |-
| |
| | style="width:100px;background-color: #f2f79d;vertical-align:top"| <span style="color:#ffbb98">[[File:vulnerability.svg|100px|link=]]</span>
| |
| |
| |
| | |
| ===Confluence OGNL Vulnerability- CVE-2022-26134===
| |
| ----
| |
| <big>'''Confluence OGNL'''</big>
| |
| | |
| Eine kritische Schwachstelle in Atlassian Confluence
| |
| * https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html | |
| * https://nvd.nist.gov/vuln/detail/CVE-2022-26134CVEs
| |
| | |
| Eine kritische 0-Day-Schwachstelle im Atlassian Confluence Data Center und Server wird aktiv in freier Wildbahn ausgenutzt. Die Schwachstelle wird über die Object Graph Navigation Language (OGNL)-Injektion hergestellt, die es einem nicht authentifizierten Benutzer ermöglicht, beliebigen Code auszuführen.
| |
| | |
| '''Hintergrund:'''<br>
| |
| Eine Cybersicherheitsfirma Volexity reagierte auf einen Angriffsvorfall, der enthüllte, dass der Angriff eine 0-Day-Schwachstelle auf Atlassian Confluence Server ausnutzte.
| |
| | |
| '''Angekündigt:'''<br>
| |
| 2. Juni 2022: Der Anbieter hat ein Advisory veröffentlicht.
| |
| | |
| '''Neueste Entwicklungen:'''<br>
| |
| 2. Juni 2022: The Hacker News hat einen Artikel über die Entdeckung des 0-Day durch Volexity veröffentlicht. <br> 3. Juni 2022: Der Anbieter hat seinen Fix freigegeben.
| |
| | |
| '''In der folgenden Tabelle ist abgebildet, welches Fortinet Produkt wie der Bedrohung entgegenwirken kann:'''
| |
| {| class="wikitable" style="width:80%"
| |
| |- style="background:#89E871"
| |
| |'''Fortinet Produkt'''
| |
| |'''Services'''
| |
| |'''Version'''
| |
| |'''weitere Infos'''
| |
| |-
| |
| |'''FortiGate'''
| |
| |IPS
| |
| |[https://www.fortiguard.com/encyclopedia/ips/51648 21.331]
| |
| |Blockiert Angriffsversuche im Zusammenhang mit der Schwachstelle Confluence OGNL (CVE-2022-26134).
| |
| |-style="background:#CFF5C6
| |
| |'''FortiWeb'''
| |
| |Web Security
| |
| |[https://fortiguard.fortinet.com/updates/websecurity?version=0.00251 0.00251]
| |
| |Blockiert Angriffsversuche im Zusammenhang mit der Schwachstelle Confluence OGNL (CVE-2013-2134/CVE-2022-26134).
| |
| |-
| |
| |'''Forticlient'''
| |
| |Applikations Firewall
| |
| |[https://www.fortiguard.com/updates/fct-app?version=21.333 21.333]
| |
| |Blockiert Angriffsversuche im Zusammenhang mit der Schwachstelle Confluence OGNL (CVE-2022-26134).
| |
| |-style="background:#CFF5C6
| |
| |'''FortiClient'''
| |
| |Endpoint Vulnerability
| |
| |[https://www.fortiguard.com/updates/epvuln?version=1.315 1.315]
| |
| |Blockiert Angriffsversuche im Zusammenhang mit der Schwachstelle Confluence OGNL (CVE-2022-26134)
| |
| |-
| |
| |'''FortiSASE'''
| |
| |IPS
| |
| |[https://www.fortiguard.com/encyclopedia/ips/51648 21.331]
| |
| |Blockiert Angriffsversuche im Zusammenhang mit der Schwachstelle Confluence OGNL (CVE-2022-26134).
| |
| |-style="background:#CFF5C6
| |
| |'''FortiADC'''
| |
| |IPS
| |
| |[https://www.fortiguard.com/encyclopedia/ips/51648 21.331]
| |
| |Blockiert Angriffsversuche im Zusammenhang mit der Schwachstelle Confluence OGNL (CVE-2022-26134).
| |
| |-
| |
| |'''FortiProxy'''
| |
| |IPS
| |
| |[https://www.fortiguard.com/encyclopedia/ips/51648 21.331]
| |
| |Blockiert Angriffsversuche im Zusammenhang mit der Schwachstelle Confluence OGNL (CVE-2022-26134).
| |
| |-
| |
| |}
| |
| | |
| Um Kunden beim Identifizieren und Schützen von Schwachstellen zu unterstützen, sind '''FortiAnalyzer'''-, '''FortiSIEM'''- und '''FortiSOAR-Updates''' verfügbar, um Warnungen auszulösen und die Reaktion auf Vorfälle eskalieren zu lassen:
| |
| | |
| '''Outbreak Detection Version 1.057'''
| |
| * https://www.fortiguard.com/updates/outbreak-detection-service?version=1.00057
| |
| '''Threat Hunting Version 7.0+'''
| |
| *https://community.fortinet.com/t5/FortiAnalyzer/Technical-Tip-Using-FortiAnalyzer-to-detect-Confluence-RCE-CVE/ta-p/213812
| |
| ---- | | ---- |
| '''Mehr Fleisch am Knochen:'''
| | <small>add 14.10.2024 - 4Tinu</small> |
| | |
| Additional Resources
| |
| CISA Gov
| |
| *https://www.cisa.gov/uscert/ncas/current-activity/2022/06/02/atlassian-releases-security-updates-confluence-server-and-data
| |
| Volexity
| |
| *https://www.volexity.com/blog/2022/06/02/zero-day-exploitation-of-atlassian-confluence/
| |
| The Hacker News
| |
| *https://thehackernews.com/2022/06/hackers-exploiting-unpatched-critical.html
| |
| Bleeping Computer
| |
| *https://www.bleepingcomputer.com/news/security/critical-atlassian-confluence-zero-day-actively-used-in-attacks/
| |
| Threat Signal
| |
| *https://www.fortiguard.com/threat-signal-report/4613
| |
| Heise.de
| |
| *https://www.heise.de/news/Krypto-Miner-und-Verschluesselungstrojaner-schluepfen-durch-Confluence-Luecke-7138563.html
| |
| ----
| |
| <small>''edit 15.06.2022 - 4Tinu''</small> | |
| |} | | |} |
| {| class="wikitable" style="width:100%"
| |
| |-
| |
| | style="width:100px;background-color: #f2f79d;vertical-align:top"| <span style="color:#ffbb98">[[File:vulnerability.svg|100px|link=]]</span>
| |
| |
| |
|
| |
| ===Apache Log4j Vulnerability-CVE-2021-44228===
| |
| [[Datei:update.svg|40px|link=]]
| |
| ----
| |
| Log4j ist eine weitverbreitete, auf Java basierende Open-Source-Protokollierungsbibliothek, die Bestandteil sehr vieler Produkte, Dienste und Java-Komponenten ist. Durch die Log4Shell genannte Lücke ist die vollständige Übernahme von Servern möglich.
| |
|
| |
| Fortinet hat die IPS Signatur <code>Apache.Log4j.Error.Log.Remote.Code.Execution</code> im IPS DB Pakett Version ''19.215'' hinzugefügt.
| |
| Dabei ist aber die default Aktion auf '''pass''' konfiguriert. Diese müsste also manuell noch auf '''drop''' konfiguriert werden
| |
|
| |
| Ab der IPS DB Version ''19.217'' ist die default aktion für <code>Apache.Log4j.Error.Log.Remote.Code.Execution</code> auf '''drop''' gesetzt.
| |
| [[Datei:fortinet-3099.jpg|750px|link=]]
| |
| Mehr Infos: https://www.fortiguard.com/updates/ips?version=19.217
| |
|
| |
| {| class="wikitable" style="width:50%"
| |
| |-
| |
| | style="width:50px;background-color: #f8e7ea;"| <span style="color:#ba0c2f">[[Datei:wichtig.svg|50px|link=]]</span>
| |
| |
| |
| Es ist darauf zu achten, dass bei https Zugriffen nur der Header einsehbar ist und der Body nicht, ausser man wendet SSL-Fullinspektion an!!
| |
| |}
| |
| ----
| |
| '''In der folgenden Tabelle ist abgebildet, welches Fortinet Produkt wie die Log4j Verwundbarkeit handelt:'''
| |
| {| class="wikitable" style="width:80%"
| |
| |- style="background:#89E871"
| |
| |'''Fortinet Produkt'''
| |
| |'''Services'''
| |
| |'''Version'''
| |
| |'''weitere Infos'''
| |
| |-
| |
| |'''FortiGate'''
| |
| |IPS
| |
| |[https://www.fortiguard.com/encyclopedia/ips/51006 19.218]
| |
| |Blockiert die Ausnutzung der Log4j2-Sicherheitslücke
| |
| |-style="background:#CFF5C6
| |
| |'''FortiWeb'''
| |
| |Web Security
| |
| |[https://www.fortiguard.com/updates/websecurity?version=0.00306 0.00306]
| |
| |Blockiert die Ausnutzung der Log4j2-Sicherheitslücke
| |
| |-
| |
| |'''Forticlient'''
| |
| |Applikations Firewall
| |
| |[https://www.fortiguard.com/encyclopedia/ips/51006 19.218]
| |
| |Blockiert Angriffsversuche zur Ausnutzung einer Remote Code Execution-Schwachstelle in Apache Log4j.
| |
| |-style="background:#CFF5C6
| |
| |'''FortiClient'''
| |
| |Threat Hunting
| |
| |[https://community.fortinet.com/t5/FortiClient/Technical-Tip-Using-FortiClient-to-protect-against-Apache-Log4j/ta-p/201061 6.2+ ]
| |
| |Überprüfe den Endpointschutz und überwache alle Warnmeldungen im Zusammenhang mit Log4j2-Ausnutzungsversuchen.
| |
| |-
| |
| |'''FortiEDR'''
| |
| |EDR
| |
| |[https://community.fortinet.com/t5/FortiEDR/Technical-Tip-How-FortiEDR-protects-against-the-exploitation-of/ta-p/201027 5.0+]
| |
| |Überwacht und schützt vor Nutzdaten, die durch die Ausnutzung der Sicherheitslücke übertragen werden.
| |
| |-style="background:#CFF5C6
| |
| |'''FortiEDR'''
| |
| |Threat Hunting
| |
| |[https://community.fortinet.com/t5/FortiEDR/Technical-Tip-How-FortiEDR-protects-against-the-exploitation-of/ta-p/201027 5.0+]
| |
| |Suche nach verwundbarer jar-Datei im Zusammenhang mit der Log4j2-Schwachstelle
| |
| |-
| |
| |'''FortiCPW'''
| |
| |Vulnerability
| |
| |[https://community.fortinet.com/t5/FortiCWP/Technical-Tip-Using-FortiCWP-to-detect-and-protect-against/ta-p/201017 21.3.0]
| |
| |Schützt die CI/CD-Pipeline und erkennt das Vorhandensein der log4j2-Schwachstelle in Container-Images
| |
| |-style="background:#CFF5C6
| |
| |'''FortiADC'''
| |
| |IPS
| |
| |[https://www.fortiguard.com/encyclopedia/ips/51006 19.218]
| |
| |Blockiert die Ausnutzung der Log4j2-Sicherheitslücke
| |
| |-
| |
| |'''FortiProxy'''
| |
| |IPS
| |
| |[https://www.fortiguard.com/encyclopedia/ips/51006 19.218]
| |
| |Blockiert die Ausnutzung der Log4j2-Sicherheitslücke
| |
| |-style="background:#CFF5C6
| |
| |'''FortiAnalyzer'''
| |
| |Outbreak Detection
| |
| |[https://www.fortiguard.com/updates/outbreak-detection-service?version=1.00038 1.00038]
| |
| |Erkennung von Indikatoren für die Log4j2-Schwachstelle aus der gesamten Sicherheitsstruktur
| |
| |-
| |
| |'''FortiAnalyzer'''
| |
| |Threat Hunting
| |
| | [https://community.fortinet.com/t5/FortiAnalyzer/Technical-Tip-Using-FortiAnalyzer-to-detect-activities-related/ta-p/201026 6.4+]
| |
| |Erkennung von Indikatoren für die Log4j2-Schwachstelle aus der gesamten Sicherheitsstruktur
| |
| |-style="background:#CFF5C6
| |
| |'''FortiSIEM'''
| |
| |Threat Hunting
| |
| |[https://community.fortinet.com/t5/FortiSIEM/Technical-Tip-How-to-use-FortiSIEM-to-detect-activities-related/ta-p/201082 6.0+]
| |
| |Erkennung von Indikatoren für die Log4j2-Schwachstelle in der gesamten Sicherheitsstruktur und in Produkten von Drittanbietern
| |
| |-
| |
| |}
| |
| Übersicht Fortinet Produkte:
| |
| [[Datei:Fortinet-Log4j-0001.jpg|750px|link=]]
| |
|
| |
| Informationen von Seiten Fortinet gibt es hier:
| |
| * https://www.fortiguard.com/psirt/FG-IR-21-245
| |
| * https://www.fortiguard.com/outbreak-alert/log4j2-vulnerability
| |
| * https://www.fortinet.com/blog/psirt-blogs/apache-log4j-vulnerability
| |
|
| |
| Informationen von Seiten Check Point gibt es hier:
| |
| * https://blog.checkpoint.com/2021/12/11/protecting-against-cve-2021-44228-apache-log4j2-versions-2-14-1/
| |
| * https://supportcenter.us.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk176884
| |
|
| |
| Generell:
| |
| * https://logging.apache.org/log4j/2.x/
| |
| * https://www.cve.org/CVERecord?id=CVE-2021-44228
| |
|
| |
| In dieser Grafik ist der Verlauf der Bedrohung visuell dargestellt:
| |
| [[Datei:Fortinet-3100.jpg|750px|link=]]
| |
| Unterlagen vom Webinar FortiGuard:
| |
| [[Datei:NSE-Insider-Log4j_Technical-Master.pdf]]
| |
|
| |
| ''Updatet 05.01.2022 - 4Tinu''
| |
| |}
| |
| {| class="wikitable" style="width:100%"
| |
| |-
| |
| | style="width:100px;background-color: #f2f79d;vertical-align:top"| <span style="color:#ffbb98">[[File:vulnerability.svg|100px|link=]]</span>
| |
| |
| |
|
| |
| === FORTIGATE FORTIOS überprüfen - CVE-2018-13379===
| |
| ----
| |
| [[Datei:update.svg|40px|link=]]
| |
|
| |
| Eine schon längere bekannte Sicherheitslücke bekommt wieder an Bedeutung. Es wurde auf Twitter ein Exploid pupliziert, welches erlaubt auf ungepatchten FortiGate das Administrations Passwort herauszulesen.
| |
| Es handelt sich hier um die Sicherheitslücke welche im CVE-2018-13379 beschrieben ist. Mehr Infos gibt es bei uns auf dem Wiki:
| |
| [[Fortinet:Support-Alerts#FortiOS-Systemdateileck_durch_SSL-VPN_.C3.BCber_speziell_entwickelte_HTTP-Ressourcenanfragent_CVE-2018-13379]]
| |
|
| |
| Folgende FortiOS Versionen sind Betroffen:
| |
| * FortiOS 6.0.0 bis 6.0.4
| |
| * FortiOS 5.6.0 bis 5.6.8
| |
| * FortiOS 5.4.1 bis 5.4.10
| |
|
| |
| '''Fortinet Empfiehlt auf mindestens folgende OS Versionen upzudaten:'''
| |
| * 5.4.13 (EOS)
| |
| * 5.6.14
| |
| * 6.0.11
| |
| * 6.2.8
| |
| Falls eine der betroffenen Versionen benutzt wurde, empfehlen wir nach dem Upgrade die SSL-VPN Zugangsdaten (Passwörter) zu aktualisieren.<br>
| |
| --> https://www.fortinet.com/blog/psirt-blogs/malicious-actor-discloses-fortigate-ssl-vpn-credentials
| |
|
| |
| {| class="wikitable" style="width:100%"
| |
| |-
| |
| | style="width:50px;background-color: #f8e7ea;"| <span style="color:#ba0c2f">[[Datei:wichtig.svg|50px|link=]]</span>
| |
| |
| |
| Falls beim Unternehmen zu irgendeinem Zeitpunkt eine der in der ursprünglichen Empfehlung aufgeführten betroffenen Versionen verwendet wurden, empfiehlt Fortinet, sofort die folgenden Schritte zu unternehmen, um sicherzustellen, dass die Anmeldedaten nicht missbraucht werden können.
| |
|
| |
| '''Deaktivieren von allen VPNs (SSL-VPN oder IPSEC), bis die folgenden Abhilfeschritte durchgeführt wurden:'''
| |
| # Updaten der betroffenen Geräte sofort auf die neueste verfügbare Version wie oberhalb dokumentiert.
| |
| # Alle Anmeldeinformationen als potenziell gefährdet behandeln, indem man ein unternehmensweites Passwort Reset aktion durchführt.
| |
| # Implementieren von einer Multi-Faktor-Authentifizierung, um den Missbrauch kompromittierter Anmeldedaten jetzt und in Zukunft zu verhindern. Fortinet bietet den FortiToken dafür an.
| |
| # Alle Benutzer kontaktieren um den Grund für das Zurücksetzen des Passworts zu erklären und überwachen der Dienste wie HIBP für die Domäne. Wenn Passwörter für andere Konten wiederverwendet wurden, besteht die Möglichkeit, dass sie für Credential Stuffing-Angriffe verwendet werden.
| |
| |}
| |
| ----
| |
| In der Schweiz sind gegen 1000 Systeme betroffen. Überprüfe die FortiGate unbedingt und leite so schnell als möglich den Upgrade ein.
| |
|
| |
| * Mehr Informationen von Fortinet: https://kb.fortinet.com/kb/microsites/microsite.do?cmd=displayKC&docType=kc&externalId=FD46513
| |
| * Update vom 8 September 2021 : https://www.fortinet.com/blog/psirt-blogs/malicious-actor-discloses-fortigate-ssl-vpn-credentials
| |
| * Bericht auf nau.ch: https://www.nau.ch/news/digital/fortinet-vpn-exploit-mit-49500-ungepatchten-zeilen-veroffentlicht-65824898
| |
| * Schweiz spezifisch: https://www.selution.ch/fortigate-sicherheitsluecke-gefaehrdet-900-schweizer-unternehmen/ <br>
| |
| ''Danke Christian Huber für deinen Input''
| |
| |-
| |
| |}
| |
| {| class="wikitable" style="width:100%"
| |
| |-
| |
| | style="width:100px;background-color: #f2f79d;vertical-align:top"| <span style="color:#ffbb98">[[File:vulnerability.svg|100px|link=]]</span>
| |
| |
| |
|
| |
| === Remote unautentifizierte Code Ausführung auf dem FortiManager - CSB-210622-1===
| |
| ----
| |
| Eine Schwachstelle in einem FortiManager Daemon ermöglicht es einen nicht authentifiziertem Remote Angreifer indem er einer speziell gestalteten Anfrage auf das Zielgerät(FortiManager) sendet und so unautorisierten Code als Root auszuführen kann.
| |
|
| |
| '''Detail der Schwachstelle:'''<br>
| |
| Diese Schwachstelle kann dem Remote Angreifer die Möglichkeit geben, beliebigen Code als Root auszuführen.
| |
|
| |
| '''Betroffene Produkte:'''<br>
| |
| * FortiManager Version 5.6.10 und tiefer.
| |
| * FortiManager Version 6.0.10 und tiefer.
| |
| * FortiManager Version 6.2.7 und tiefer.
| |
| * FortiManager Version 6.4.5 und tiefer.
| |
| * FortiManager Version 7.0.0.
| |
|
| |
| '''Lösung:'''<br>
| |
| * FortiManager auf Version 5.6.11 oder höher Updaten.
| |
| * FortiManager auf Version 6.0.11 oder höher Updaten.
| |
| * FortiManager auf Version 6.2.8 oder höher Updaten.
| |
| * FortiManager auf Version 6.4.6 oder höher Updaten.
| |
| * FortiManager auf Version 7.0.1 oder höher Updaten.
| |
|
| |
| '''Workaround:'''<br>
| |
| * Der betroffene Dienst kann im FortiManager nicht deaktiviert werden. Das heisst eingehender Traffic muss gefiltert werden und nur Netze/Hosts zulassen, welche auf den FortiManager zugreifen dürfen. Wenn eine Firewall vor dem FortiManager ist, kann dafür eine entsprechende Firewall Regel konfiguriert werden. Auf dem FortiManager können permitet IP Adressen definiert werden um den Zugriff auf den FortiManager einzuschränken.
| |
| * Wenn sich der FortiManager hinter einer FortiGate mit einer gültigen IPS Lizenz befindet, kann die in der IPS-Definitionen 18.100 verfügbare IPS Signatur verwendet werden und so das Problem entschärfen. Details zur Signatur: https://www.fortiguard.com/encyclopedia/ips/50483
| |
| '''Konfiguration IPS Profil:'''
| |
| [[Datei:Fortinet-2974.jpg|250px|link=]]
| |
|
| |
| [[Datei:Fortinet-2975.jpg|550px|link=]]
| |
|
| |
| [[Datei:Fortinet-2976.jpg|550px|link=]]
| |
| '''Konfiguration Policy:'''
| |
| [[Datei:Fortinet-2977.jpg|850px|link=]]
| |
| In der Policy kann als Source eine Gruppe erstellt werden, welche nur Access von bekannten Systemen erlaubt, so kann das Risiko auch eingeschränkt werden. Besser ist es, keinen Zugriff über das Internet zum FortiManager zulassen. Besser ist es, den FortiManager aus einem dediziertem Management Netz zu Administrieren, auf welches über ein VPN zugegriffen wird.
| |
|
| |
| Falls der FortiManager als lokaler FDN genutzt wird, kann man ausgehend noch folgende Firewall Regel auf der FortiGate aktivieren:
| |
| [[Datei:Fortinet-2978.jpg|850px|link=]]
| |
| ----
| |
|
| |
| ''Publiziert im Support Bulletin unter CSB-210622-1 am 23.06.2021 https://support.fortinet.com/Information/Bulletin.aspx ''<br>
| |
| ''Bericht auf heise.de https://www.heise.de/news/Sicherheitsupdates-Root-Luecke-bedroht-FortiManager-und-FortiAnalyzer-6142498.html''
| |
| |}
| |
|
| |
| {| class="wikitable" style="width:100%"
| |
| |-
| |
| | style="width:100px;background-color: #f2f79d;vertical-align:top"| <span style="color:#ffbb98">[[File:vulnerability.svg|100px|link=]]</span>
| |
| |
| |
|
| |
| ===Microsoft Exchange - HAFNIUM wie kann Fortinet helfen?===
| |
|
| |
| Fortinet hat mit entsprechenden Patches und Konfigurationen die Möglichkeit den Hafnium Exploid zu erkennen und auch zu blockieren.
| |
| Dafür müssen die entsprechenden Signaturen natürlich auf den Geräten vorhanden sein und es müssen auch entsprechende Konfigurationen vorgenommen werden.
| |
| Auf einer zum Beispiel auf einer FortiGate ist es notwendig, dass eine Firewall Regel welche den Exchange Server absichert mit entsprechenden Antiviren, Applikations Kontroll und IPS Profilen.
| |
|
| |
| {| class="wikitable" style="width:100%"
| |
| |-
| |
| ! Produkt
| |
| ! Service
| |
| ! Version
| |
| ! Informationen
| |
| |-
| |
| | '''FortiGate''' mit NGFW Profilen
| |
| | IPS
| |
| | [https://www.fortiguard.com/updates/ips?version=18.030 18.030]
| |
| | Blockiert den Exploit (Firewall Regel in Front vom Exchange Server mit den entsprechenden UTP Features)
| |
| |-
| |
| | '''FortiGate''' mit NGFW Profilen
| |
| | Antivirus
| |
| | [https://www.fortiguard.com/updates/antivirus?version=84.00475 84.00475]
| |
| | Verhindert nicht die Ausnutzung, aber die Exfiltrierung der Daten wird verhindert.
| |
| |-
| |
| | '''FortiSIEM'''
| |
| | Rules & Threat Hunting Report
| |
| | 5.x , 6.x
| |
| | Erkennt Indikatoren, die Hafnium zugeschrieben werden, aus IIS-Protokollen, Windows-, FortiGate IPS- und Virenprotokollen sowie Traffic Protokollen.
| |
| Fortinet hat einen KB Beitrag erstellt, wie man mit FortiSIEM erkennen kann, ob die Schwachstellen im Microsoft Exchange Server Mit HAFNIUM ausgenutzt wurde:
| |
| * https://kb.fortinet.com/kb/documentLink.do?externalID=FD51618
| |
| |-
| |
| |FortiClient
| |
| |Vulnerability
| |
| | [https://www.fortiguard.com/updates/epvuln?version=1.234 1.234]
| |
| | Erkennt auf dem Windows Server die verwundbare Instanz des Exchanges.
| |
| |-
| |
| | '''FortiWeb'''
| |
| | WAF
| |
| | [https://www.fortiguard.com/updates/websecurity?version=0.00286 0.00286]
| |
| | Wenn die WAF vor dem Exchange Server eine entsprechende Regel konfiguriert hat, wird der Exploid geblockt
| |
| |-
| |
| | '''FortiAnalyzer'''
| |
| | Event Handler und Threat Hunting Report
| |
| | 6.2 und 6.4
| |
| | Anleitung von Fortinet:
| |
| * https://kb.fortinet.com/kb/documentLink.do?externalID=FD51568
| |
| |}
| |
| *''Daten von https://fndn.fortinet.net/FortiGuard-Alert-Outbreaks/Hafnium-full/''
| |
|
| |
| Microsoft hat noch weitere Informationen herausgegeben:
| |
| * https://blogs.microsoft.com/on-the-issues/2021/03/02/new-nation-state-cyberattacks/
| |
| * https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
| |
| |}
| |
|
| |
| {| class="wikitable" style="width:100%"
| |
| |-
| |
| | style="width:100px;background-color: #f2f79d;vertical-align:top"| <span style="color:#ffbb98">[[File:vulnerability.svg|100px|link=]]</span>
| |
| |
| |
|
| |
| ===FortiMail & FortiVoiceEnterprise - Dringender Upgrade empfohlen - CVE-2020-9294===
| |
| '''Umgehung der Authentifizierung in FortiMail und FortiVoiceEnterprise '''
| |
|
| |
| '''Bedrohung:'''<br>
| |
| In bestimmten Versionen von FortiMail und FortiVoiceEnterprise wurde eine Schwachstelle bei der unsachgemässen Authentifizierung entdeckt, die es einem entfernten, nicht authentifizierten Angreifer ermöglicht, als berechtigter Benutzer auf das System zuzugreifen, indem er über die das Benutzerinterface eine Kennwortänderung anfordert.<BR>
| |
|
| |
| {| class="wikitable" style="width:100%"
| |
| |-
| |
| | style="width:50px;background-color: #f8e7ea;"| <span style="color:#ba0c2f">[[File:achtung.png|50px|link=]]</span>
| |
| |
| |
| Aufgrund der Möglichkeit, dieses Problem aus Remote auszunutzen, empfiehlt Fortinet allen Kunden mit den anfälligen Versionen dringend, ein sofortiges Upgrade durchzuführen.
| |
| |-
| |
| |}
| |
| ----
| |
| ''' Betroffene FortiMail-Produkte: '''<br>
| |
| *FortiMail Versions 5.4.1 bis 5.4.10
| |
| *FortiMail Versions 6.0.0 bis 6.0.7
| |
| *FortiMail Versions 6.2.0 bis 6.2.2
| |
|
| |
| '''Upgraden auf mindestens Version: '''<br>
| |
| * FortiMail Version 5.4.11 oder höher
| |
| * FortiMail Version 6.0.8 oder höher
| |
| * FortiMail Version 6.2.3 oder höher
| |
|
| |
| ''FortiMail Version 5.3 oder tiefer sind nicht von dieser Sicherheitslücke betroffen. ''
| |
| Das Problem wurde innerhalb der FortiMail-Cloud entschärft.
| |
| ----
| |
| ''' Betroffene FortiVoiceEnterprise-Produkte: '''
| |
| * FortiVoiceEnterprise Version 6.0.0 bis 6.0.1
| |
|
| |
| '''Upgraden auf mindestens Version: '''<br>
| |
| * FortiVoiceEnterprise Version 6.0.3 oder höher
| |
|
| |
| ''FortiVoiceEnterprise Version 5.3 oder tiefer sind nicht von dieser Sicherheitslücke betroffen. ''
| |
| ----
| |
| ''' Workaround: ''' <br>
| |
| Die Schwachstelle wirkt sich nur auf die Administrationsoberfläche aus, nicht auf die Benutzerschnittstelle. Die Deaktivierung der HTTP/HTTPS-Administrationsschnittstelle im öffentlichen Netzwerk schränkt Angriffe aus dem Internet ein.<BR>
| |
|
| |
| * In Version 6.0.0 und höher können die Admin- und die Benutzerinterface auf getrennten Interface über Netzwerk > Interface > Interface bearbeiten > Erweiterte Einstellungen > Web-Zugriff aktiviert werden, so dass die Admin-Schnittstelle auf den Schnittstellen mit Internetzugang deaktiviert werden können, während die Benutzerschnittstelle zugelassen wird.
| |
| * In Version 5.4 kann HTTPS deaktiviert werden, aber dadurch wird auch die Schnittstelle WebMail / Benutzerquarantäne deaktiviert. Externe Layer7-WAF-Lösungen, die den Zugriff auf /admin kontrollieren, können verwendet werden, um dieses Risiko bis zum Upgrade zu mindern.<BR>
| |
| ----
| |
| ''' Nach dem Upgrade:''' <br>
| |
| Aufgrund des Missbrauchspotenzials empfiehlt Fortinet das die Administratoren der Systeme die Konfiguration überprüfen ob diese den Erwartungen entsprechen und keine unautorisierten Änderungen vorgenommen wurden.
| |
| (Event Log anschauen auf Konfigurationsänderungen in letzter Zeit und diese validieren ob gewollt) (Change Management)
| |
|
| |
| Es wird auch empfohlen, die folgend bewährte Vorgehensweise zu beachten:
| |
|
| |
| * Deaktivieren der Admin Dienste auf dem Public Interface welche vom Internet zugänglich ist. (Verfügbar ab 6.0).
| |
| * Deaktivieren des Standard-Administratorkonto und stattessen individuelle Konten pro Administrator oder Remote-Authentifizierungsmethoden wie RADIUS oder LDAP erstellen und benutzen.
| |
| ----
| |
| Refernz:
| |
| * '' FML ID: FG-IR-20-045''
| |
| * '' CVE ID: CVE-2020-9294 ''
| |
| |}
| |
|
| |
| === Schwacher Algorithmus („XOR“) in FortiGuard Verschlüsselung ===
| |
| <div style="background-color:#ba0c2f;font-size:1px;height:8px;border:1px solid #AAAAAA;"></div>
| |
| <div style="border:1px solid #ba0c2f;border-top:0px solid white;padding:5px 5px 0 5px;margin-bottom:3ex">
| |
| [[File:vulnerability.jpg|link=]]
| |
|
| |
| Fortinet Geräte welche mit der FortiGuard kommunizieren, benutzen den Verschlüsselungsalgorithmus "XOR" und statischen kryptographischen Schlüssel welcher schwach ist. Dadurch kann einem potentiellen Angreifer ermöglicht werden, Benutzeraktivitäten zu überwachen oder die Antworten der FortiGuard Server zu manipulieren.
| |
|
| |
| '''Beschreibung:'''<br>
| |
| Fortinet-Produkte, einschliesslich FortiGate und Forticlient, senden regelmässig Informationen an Fortinet-Server (DNS: guard.fortinet.com). Die Nachrichten werden mit einer XOR "Verschlüsselung" von einem statischen Schlüssel verschlüsselt.
| |
|
| |
| Dabei werden folgende Ports benutzt:
| |
| * UDP Port 53, 8888 und TCP Port 80 (HTTP POST /fgdsvc)
| |
|
| |
| '''Betroffene Produkte:'''
| |
| * FortiOS 6.0.7 und tiefer
| |
| * FortiClientWindows 6.0.6 und tiefer
| |
| * FortiClientMac 6.2.1 und tiefer
| |
|
| |
| '''Lösung:'''
| |
|
| |
| Upgraden auf:
| |
| * FortiOS 6.2.0
| |
| * FortiClientWindows 6.2.0
| |
| * FortiClientMac 6.2.2
| |
|
| |
| '''Mehr Infos gibt es auf folgenden Seiten:'''
| |
| * https://sec-consult.com/en/blog/advisories/weak-encryption-cipher-and-hardcoded-cryptographic-keys-in-fortinet-products/
| |
| * https://seclists.org/bugtraq/2019/Nov/38
| |
| * '''https://fortiguard.com/psirt/FG-IR-18-100'''
| |
| * https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-9195
| |
| </div>
| |
|
| |
| === Nicht authentifizierte SSL VPN-Benutzer Passwortänderung CVE-2018-13382 ===
| |
|
| |
| <div style="background-color:#ba0c2f;font-size:1px;height:8px;border:1px solid #AAAAAA;"></div>
| |
| <div style="border:1px solid #ba0c2f;border-top:0px solid white;padding:5px 5px 0 5px;margin-bottom:3ex">
| |
| [[File:vulnerability.jpg|link=]]
| |
|
| |
| '''Zusammenfassung:'''
| |
|
| |
| Eine Schwachstelle für unzulässige Autorisierung im SSL-VPN-Webportal kann es einem nicht authentifizierten Angreifer ermöglichen, das Passwort eines SSL-VPN-Webportalbenutzers über speziell entwickelte HTTP-Anfragen zu ändern.
| |
|
| |
| '''Betroffene Produkte'''
| |
|
| |
| * FortiOS 6.0.0 to 6.0.4
| |
| * FortiOS 5.6.0 to 5.6.8
| |
| * FortiOS 5.4.1 to 5.4.10
| |
| '''NUR''' wenn das SSL VPN Webportal aktiviert ist.
| |
|
| |
| Die Versionen 5.4.0 und tiefer (inklusive 5.2) sind nicht betroffen.
| |
|
| |
| '''Lösung:'''
| |
|
| |
| * Upgraden auf FortiOS 5.4.11, 5.6.9, 6.0.5, 6.2.0 oder höher
| |
| * Fortinet empfiehlt auf folgende FortiOS upzugraden: 5.4.13*, 5.6.11, 6.0.6 oder 6.2.2
| |
| * https://kb.fortinet.com/kb/microsites/microsite.do?cmd=displayKC&docType=kc&externalId=FD46513
| |
| <nowiki>*</nowiki> Lies in den Release Notes die Ausnahmen!!
| |
|
| |
| '''Workaround:'''
| |
|
| |
| Deaktivieren des SSL-VPN Webportal mit dem folgenden CLI Befehl:
| |
|
| |
| {| class="wikitable"
| |
| ! style=" width:550px; text-align:left; background:#89E871" |Konfiguration über CLI
| |
| |-
| |
| |
| |
| <pre>
| |
| config vpn ssl settings
| |
| unset source-interface
| |
| end
| |
| </pre>
| |
| |-
| |
| |}
| |
|
| |
| '''Mehr Infos gibt es auf folgenden Seiten:'''
| |
| * https://fortiguard.com/psirt/FG-IR-18-389
| |
| * https://www.heise.de/security/meldung/Fortinet-schliesst-mehrere-Sicherheitsluecken-in-FortiOS-und-Co-4432813.html
| |
| * https://kb.fortinet.com/kb/microsites/microsite.do?cmd=displayKC&docType=kc&externalId=FD46513
| |
| </div>
| |
|
| |
| === FortiOS-Systemdateileck durch SSL-VPN über speziell entwickelte HTTP-Ressourcenanfragent CVE-2018-13379 ===
| |
|
| |
| <div style="background-color:#ba0c2f;font-size:1px;height:8px;border:1px solid #AAAAAA;"></div>
| |
| <div style="border:1px solid #ba0c2f;border-top:0px solid white;padding:5px 5px 0 5px;margin-bottom:3ex">
| |
| [[File:vulnerability.jpg|link=]]
| |
|
| |
| '''Zusammenfassung:'''
| |
|
| |
| Eine Schwachstelle bei der Pfadüberquerung im FortiOS SSL VPN-Webportal, kann einem nicht authentifizierten Angreifer ermöglichen, FortiOS-Systemdateien über speziell entwickelte HTTP-Ressourcenanforderungen herunterzuladen.<br>
| |
| https://fortiguard.com/psirt/FG-IR-18-384
| |
|
| |
| '''Auswirkungen:'''
| |
|
| |
| Offenlegung von Informationen
| |
|
| |
| '''Betroffene Produkte'''
| |
|
| |
| * FortiOS 5.6.3 bis 5.6.7
| |
| * FortiOS 6.0.0.0 bis 6.0.4
| |
|
| |
| * Andere Versionen sind nicht betroffen.
| |
| '''Lösung:'''
| |
|
| |
| * Aktualisieren auf FortiOS 5.6.8, 6.0.5 oder 6.2.0
| |
| * Fortinet empfiehlt auf folgende FortiOS upzugraden: 5.6.11, 6.0.6 oder 6.2.2
| |
| * https://kb.fortinet.com/kb/microsites/microsite.do?cmd=displayKC&docType=kc&externalId=FD46513
| |
|
| |
| '''Workaround'''
| |
| {| class="wikitable"
| |
| ! style=" width:550px; text-align:left; background:#89E871" |Konfiguration über CLI
| |
| |-
| |
| |
| |
| <pre>
| |
| config vpn ssl settings
| |
| unset source-interface
| |
| end
| |
| </pre>
| |
| |-
| |
| |}
| |
| '''Mehr Infos gibt es auf folgenden Seiten:'''
| |
| * https://fortiguard.com/psirt/FG-IR-18-384
| |
| * https://www.heise.de/security/meldung/Fortinet-schliesst-mehrere-Sicherheitsluecken-in-FortiOS-und-Co-4432813.html
| |
| * https://kb.fortinet.com/kb/microsites/microsite.do?cmd=displayKC&docType=kc&externalId=FD46513
| |
| </div>
| |
|
| |
| === Key Reinstallation Attacks: Cryptographic/protocol attack against WPA2 ===
| |
| <div style="background-color:#ba0c2f;font-size:1px;height:8px;border:1px solid #AAAAAA;"></div>
| |
| <div style="border:1px solid #ba0c2f;border-top:0px solid white;padding:5px 5px 0 5px;margin-bottom:3ex">
| |
| Es wurde eine Sicherheitslücke im WPA2 Protokoll entdeckt. Diese Sicherheitslücke erlaubt es Angreifern verschlüsselte Informationen mitzulesen.
| |
| Die Sicherheitslücke ist daher Hersteller unabhängig, es sind sämtliche WPA/WPA2 Produkte betroffen.
| |
|
| |
| '''Relevante CVE sind:'''
| |
| * CVE-2017-13077: reinstallation of the pairwise key in the 4-way handshake
| |
| * CVE-2017-13078: reinstallation of the group key in the 4-way handshake
| |
| * CVE-2017-13079: reinstallation of the integrity group key in the 4-way handshake
| |
| * CVE-2017-13080: reinstallation of the group key in the group key handshake
| |
| * CVE-2017-13081: reinstallation of the integrity group key in the group key handshake
| |
| * CVE-2017-13082: accepting a retransmitted FT Reassociation Request and reinstalling the pairwise key while processing it
| |
| * CVE-2017-13084: Reinstallation of the STK key in the PeerKey handshake.
| |
| * CVE-2017-13086: reinstallation of the Tunneled Direct-Link Setup (TDLS) PeerKey (TPK) key in the TDLS handshake.
| |
| * CVE-2017-13087: reinstallation of the group key (GTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame.
| |
| * CVE-2017-13088: reinstallation of the integrity group key (IGTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame.
| |
|
| |
| '''Betroffene Systeme von Fortinet:'''
| |
|
| |
| '''FortiGate'''
| |
| • FortiGate WiFi Modelle sind nur betroffen wen sie im WiFi Client Modus betrieben werden.
| |
| Fortigates sind nicht von folgenden CVE betroffen:
| |
| • CVE-2017-13082
| |
| • CVE-2017-13084
| |
| • CVE-2017-13086
| |
| • CVE-2017-13087
| |
| • CVE-2017-13088
| |
|
| |
| '''Betroffene OS:'''
| |
| • FortiOS 5.6.2 und tiefere Versionen
| |
| • FortiOS 5.4.5 und tiefere Versionen
| |
| • FortiOS 5.2.11 und tiefere Versionen
| |
| • Tiefere FortiOS Branches sind alle betroffen
| |
|
| |
| '''FortiAP'''
| |
| • Nur FortiAP sind betroffen welche als mesh leaf arbeiten.
| |
| FortiAP sind nicht von folgenden CVE betroffen:
| |
| • CVE-2017-13082
| |
| • CVE-2017-13084
| |
| • CVE-2017-13086
| |
| • CVE-2017-13087
| |
| • CVE-2017-13088
| |
| '''Betroffene OS:'''
| |
| • FortiAP 5.6.0
| |
| • FortiAP 5.4.3 und tiefere
| |
| • FortiAP 5.2.6 und tiefere
| |
| • Tiefere FortiOS Branches sind alle betroffen
| |
|
| |
| '''MeruAP'''
| |
| Es sind nur Meru APs betroffen wen sie im Mesh Modus und SAM (Service assurance module) eingeschaltet ist.
| |
| Meru AP sind nicht von folgenden CVE betroffen:
| |
| • CVE-2017-13081
| |
| • CVE-2017-13084
| |
| • CVE-2017-13086
| |
| • CVE-2017-13087
| |
| • CVE-2017-13088
| |
| '''Betroffene OS:'''
| |
| • Meru AP 8.3.3 und tiefere
| |
| • Meru AP 8.2.7 und tiefere
| |
| • alle 8.0 Versionen
| |
|
| |
| '''FortiWLC:'''
| |
| FortiWLC ist von folgenden CVE nicht betroffen:
| |
| • CVE-2017-13081
| |
| • CVE-2017-13084
| |
| • CVE-2017-13086
| |
| • CVE-2017-13087
| |
| • CVE-2017-13088
| |
| '''Betroffene OS:'''
| |
| • FortiWLC 8.3.3 und tiefer
| |
| • FortiWLC 8.2.7 und tiefe
| |
| • alle FortiWLC Versionen 8.0 und 8.11
| |
|
| |
| '''Lösungen:'''
| |
| '''FortiGate'''
| |
| • Upgraden auf 5.6.2 Spezialbuild* oder upgraden auf die kommenden FortiOS: FortiOS 5.2.12, 5.4.6 or 5.6.3
| |
|
| |
| *Der Spezialbuild kann über den Lokalen TAC Support (basierend auf FortiOS 5.6.2) bezogen werden.
| |
|
| |
| '''FortiAP'''
| |
| • Upgraden auf 5.6.1 oder upgraden auf die kommenden FortiOS: FortiOS 5.2.7, 5.4.4
| |
|
| |
| '''Meru AP:'''
| |
| • Upgraden auf 8.3.3, 8.2.7 oder 7.0.11
| |
|
| |
| '''FortiWLC'''
| |
| • Upgraden auf 8.3.3 oder 8.2.7
| |
|
| |
| '''Mehr Infos gibt es auf folgenden Seiten:'''
| |
|
| |
| * http://www.fortiguard.com/psirt/FG-IR-17-196
| |
| * https://www.heise.de/security/meldung/WPA2-Forscher-entdecken-Schwachstelle-in-WLAN-Verschluesselung-3862379.html
| |
| * https://www.heise.de/security/meldung/Details-zur-KRACK-Attacke-WPA2-ist-angeschlagen-aber-nicht-gaenzlich-geknackt-3862571.html
| |
| * https://www.krackattacks.com/
| |
|
| |
| </div>
| |
|
| |
| === FortiOS Local Admin Password Hash Leak Vulnerability (CVE-2016-7542)===
| |
| <div style="background-color:#ba0c2f;font-size:1px;height:8px;border:1px solid #AAAAAA;"></div>
| |
| <div style="border:1px solid #ba0c2f;border-top:0px solid white;padding:5px 5px 0 5px;margin-bottom:3ex">
| |
| FortiOS Local Admin Password Hash Leak Vulnerability
| |
|
| |
| '''Impact:'''
| |
| Information leak
| |
|
| |
| '''Affected Products:'''
| |
| FortiOS 5.2.0-5.2.9, 5.4.1
| |
|
| |
| '''Solutions:'''
| |
| - Upgrade auf FortiOS 5.4.2 GA
| |
| - Upgrade auf FortiOS 5.2.10 GA
| |
|
| |
| '''References:'''
| |
| http://www.fortiguardcenter.com/advisory/FG-IR-16-050
| |
| </div>
| |
| === "GHOST" vulnerability GNU C Library - 28. Januar 2015 - (CVE-2015-0235)? ===
| |
| <div style="background-color:#ba0c2f;font-size:1px;height:8px;border:1px solid #AAAAAA;"></div>
| |
| <div style="border:1px solid #ba0c2f;border-top:0px solid white;padding:5px 5px 0 5px;margin-bottom:3ex">
| |
| Auf allen Linux basierenden System die eine "standard GNU C Library (aka glibc)" benützen, kann über die Library Funktion "gethostbyname()" und über eine "heap overflow condition" auf dem Zielsystem ein Exploit mit bestimmten Paramentern ausgeführt werden.
| |
|
| |
| '''Impact:'''
| |
| Diese Möglichkeit besteht Lokal sowie Remote dh. über die Applikation zB einem Mail Server. Die Funktion "gethostbyname ()"
| |
| wird benützt um den Namen zB www.fortinet.com aufzulösen um so die entsprechende IP zu ermitteln (resolve hostname to IP).
| |
|
| |
| '''Affected Products:'''
| |
| Alle FortiOS Versionen die eine "embeded" und betroffene "glibc" Version benützen. Wie auch immer die betroffene Funktion wird
| |
| nicht durch den FortiOS Code selber aufgerufen - sondern über Drittprodukte - und somit ist das FortiOS nicht direkt betroffen.
| |
| Dennoch folgende Produkte benützen eine "glibc" Version die betroffen ist, jedoch konnte durch interne Test's diese Möglichkeit
| |
| eines solchen Angriffs ausgeschlossen werden:
| |
|
| |
| FortiManager
| |
| FortiAnalyzer
| |
| FortiMail
| |
| FortiVoice
| |
| FortiRecorder
| |
| AscenLink
| |
| FortiSanbbox
| |
| FortiAuthenticator
| |
| FortiCache
| |
| FortiSwitch
| |
| FortiWAN
| |
| FortiDDoS
| |
| FortiADC D series (note: E series is not vulnerable)
| |
|
| |
| '''References:'''
| |
| http://www.fortiguard.com/advisory/FG-IR-15-001/
| |
| https://www.qualys.com/research/security-advisories/GHOST-CVE-2015-0235.txt
| |
|
| |
| '''Solutions:'''
| |
| Wie schon erwähnt unter "Affected Products" sind die genannte Produkte resp. FortiOS nicht betroffen. Nichts desto trotz
| |
| werden für die betroffenen Produke reguläres Update's released dh. die betroffene "glibc" Library werden auf den neusten
| |
| Stand gebracht. In der Zwischenzeit steht über die IPS Funktion auf einer FortiGate die folgende Signature zur Verfügung:
| |
|
| |
| Glibc.Gethostbyname.Buffer.Overflow
| |
|
| |
| Zusätzlich sollte verhindert werden, dass für die genannten Produkte das Administration Interface vom Internet her nicht
| |
| erreichbar ist.
| |
| </div>
| |
| === SSL v3 "POODLE" Vulnerability - 16. Oktober 2014 - (CVE-2014-3566)? ===
| |
| <div style="background-color:#ba0c2f;font-size:1px;height:8px;border:1px solid #AAAAAA;"></div>
| |
| <div style="border:1px solid #ba0c2f;border-top:0px solid white;padding:5px 5px 0 5px;margin-bottom:3ex">
| |
| Google hat eine weitere Schwachstelle im SSLv3 Protokoll entdeckt. Die "Poodle" benannte Sicherheitslücke ermöglicht es Angreifern Teile von SSLv3 verschlüsselten Verbindungen zu entschlüsseln. Theoretisch ist es einem Angreifer so möglich, aktive Sitzungen eines Anwenders zu kapern oder sogar dessen Account zu übernehmen. Wir empfehlen Ihnen die nachfolgenden Informationen gut durchzulesen und die nötigen Schritte zu veranlassen:
| |
|
| |
| '''Impact:'''
| |
| Der auf einer Man-in-the-Middle (MitM) Postion basierende Angriff passiert in zwei Stufen: In einem ersten Schritt erzwingt
| |
| der Angreifer durch gezielte Manipulation des Verbindungsaufbaus einen Verbindung nach dem Protokollstandard SSLv3. Dieser
| |
| Schritt basiert auf der Abwärtskompatibilität der Kommunikationspartner. In der Aufbauphase einer verschlüsselten Verbindung
| |
| handeln diese die verwendete Sicherheits-Protokoll-Version aus (heute normalerweise TLS 1.2). Dabei manipuliert der Angreifer
| |
| aus seiner MitM Position die Aufbauphase so, dass es für die Kommunikationspartner so aussieht, als würde der einte nur die
| |
| alte Sicherheits-Protokoll-Version SSLv3 unterstützen. Als Konsequenz etablieren diese eine Verbindung welche mit dem alten
| |
| Sicherheits-Protokoll SSLv3 verschlüsselt wird. In einem zweiten Schritt nutzt der Angreifer das SSLv3 Problem 'MAC-than-Encrypt'
| |
| aus um einzelne Bytes der ausgetauschten Daten zu dechiffrieren.
| |
|
| |
| '''Affected Products:'''
| |
| FotiGates in der Default Konfiguration (HTTPS GUI, bei der verwendung folgender Features: VIP load-balance, SSL VPN, wanopt, SIP SSL)
| |
| FortiMail in der default Konfiguration (HTTPS GUI, mail ssl services: SMTPS, IMAPS, POP3S)
| |
| FortiAnalyzer
| |
| FortiManager
| |
| FortiVoice
| |
|
| |
| '''References:'''
| |
| http://googleonlinesecurity.blogspot.fr/2014/10/this-poodle-bites-exploiting-ssl-30.html
| |
| https://www.openssl.org/~bodo/ssl-poodle.pdf
| |
| http://www.heise.de/security/artikel/Poodle-So-funktioniert-der-Angriff-auf-die-Verschluesselung-2425250.html
| |
|
| |
| '''Solutions:'''
| |
| Die Sicherheitslücke kann bei den FortiGates und bei FortiMail durch die Deaktivierung von SSLv3 für die 5 Server welche SSL verwenden geschlossen werden:
| |
|
| |
| Einstellungen am FortiOS (FortiGates):
| |
|
| |
| GUI (openssl):
| |
| # config system global
| |
| # set strong-crypto enable
| |
| # end
| |
|
| |
| (allenfalls verwendete Features:)
| |
|
| |
| VIP load-balance (fts):
| |
| # config firewall vip
| |
| # edit "your_vip"
| |
| # set ssl-min-version tls-1.0
| |
| # end
| |
|
| |
| SSL VPN:
| |
| # config vpn ssl settings
| |
| # set sslv3 disable (enabled per default)
| |
| # end
| |
|
| |
| wanopt:
| |
| # config wanopt ssl-server
| |
| # edit <profile>
| |
| # set ssl-min-version tls-1.0
| |
| # end
| |
|
| |
| SIP SSL (not supported on low end units):
| |
| # config voip profile
| |
| # edit <profile>
| |
| # config sip
| |
| # set ssl-mode full
| |
| # set ssl-min-version tls-1.0
| |
|
| |
|
| |
| Einstellungen an der Fortimail:
| |
|
| |
| All:
| |
| # config system global
| |
| # set strong-crypto enable
| |
| # end
| |
|
| |
| Zum Zeitpunkt der Artikelerfassung war einzig der Internet Explorer 6 bekannt, welcher nach der Deaktivierung von SSLv3
| |
| möglicherweise Kombatibiltätsprobleme aufweisen könnte. Da es sich um eine alte Browserversion handelt (aktuellste IE
| |
| Version: 11) werden diese Kombatibilitätsprobleme vernachlässigt. D.h. es ist für die Fortigates (4.3.X, 5.0.X, 5.2.X)
| |
| und für die Fortimail (5.0.X und 5.2.X) keine Patchung vorgesehen. Ein allfälliger Patch für die anderen betroffenen
| |
| Produkte wird aktuell noch überprüft.
| |
|
| |
| Eine alternative Lösung ist die Deaktivierung von SSLv3 im jeweiligen Browser (HowTo gemäss Browser Dokumentation).
| |
| </div>
| |
| === Remote Exploit Vulnerability in Bash - 24. September 2014 - (Shellshock) (CVE-2014-6271)? ===
| |
| <div style="background-color:#ba0c2f;font-size:1px;height:8px;border:1px solid #AAAAAA;"></div>
| |
| <div style="border:1px solid #ba0c2f;border-top:0px solid white;padding:5px 5px 0 5px;margin-bottom:3ex">
| |
| In der weit verbreiteten GNU Bourne Again Shell (Bash) wurde eine gravierende Schwachstelle gefunden. Die "Shellshock" genannte Sicherheitslücke ermöglicht es Angreifern unter gewissen Umständen die Ausführung von Code auf dem angegriffenen System. Wir empfehlen Ihnen die nachfolgenden Informationen gut durchzulesen und die nötigen Schritte zu veranlassen:
| |
|
| |
| '''Impact:'''
| |
| Der Exploit betrifft die GNU Bash Shell Versionen 1.14.0 bis 4.3. Bei betroffenen, auf unix basierenden, Systemen kann der Angreifer ausführbarer Code in einer Umgebungsvariable abspeichern und
| |
| diesen dann ausführen. Die Platzierung von ausführbarem Code in der Umgebungsvariable kann dabei lokal oder von remote vorgenommen werden. Die Erstellung oder Manipulation von Umgebungsvariablen von
| |
| remote ist theoretisch über verschiedene Funktionen möglich (z.B. Manipulation von HTTP Client Request Headern, SSH Servern, DHCP Clients, etc.). Aufgrund der weiten Verbreitung der Bash Shell
| |
| wird dieser Exploit als kritisch eingestuft!
| |
|
| |
| '''Affected Products:'''
| |
| FortiAnalyzer (versions 5.0.X and 5.2.0) - authentication required to exploit
| |
| FortiAuthenticator - authentication required to exploit
| |
| FortiDB
| |
| FortiManager (versions 4.3, 5.0.X and 5.2.0) - authentication required to exploit
| |
| AscenLink v7.X
| |
|
| |
| '''References:'''
| |
| http://www.fortiguard.com/advisory/FG-IR-14-030/
| |
| http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-6271
| |
|
| |
| '''Test:'''
| |
| Um zu testen ob ein Unix basiertes System betroffen ist, kann folgender Befehl ausgeführt werden:
| |
|
| |
| # env var='() { :;};echo Vulnerable' /bin/bash -c /bin/true
| |
|
| |
| Oder, falls das System nicht über /bin/env verfügt:
| |
|
| |
| # export var='() { :;}; echo Vulnerable'; /bin/bash -c /bin/true
| |
|
| |
| Wenn "Vulnerable" angezeigt wird, ist ihr System betroffen.
| |
|
| |
| '''Solutions:'''
| |
| Fortinet wird die Sicherheitslücke im Rahmen des nächsten Patches für die betroffenen Systeme schliessen.
| |
|
| |
| '''Workarounds:'''
| |
| Durch Fortigate erreichbare Systeme können mit der IPS Signatur "Bash.Function.Definitions.Remote.Code.Execution" geschützt werden. Diese IPS Signatur ist im IPS Update 5.552 enthalten
| |
| (das Update wurde am 25. September 2014 via FDN Server bereitgestellt). Voraussetzung dafür ist ein aktiver FortiGuard Maitenance Vertrag.
| |
|
| |
| Für bereits erkannte Angriffsversuche wurde ausserdem eine Antivirus Signatur bereitgestellt. Diese wird via Hot Update Funktion in der AV DB 22.863 bereitgestellt.
| |
|
| |
| Der aktuelle Stand der IPS-Attack- und AV-Definitions-Datenbank kann mit folgendem Befehl angezeigt werden:
| |
|
| |
| # get system fortiguard-service status
| |
|
| |
| Das Update der IPS- und AV-Definitionen kann mit folgendem Befehl manuell angestossen werden:
| |
|
| |
| # execute update-now
| |
| </div>
| |
| === Fortinet Multiple Vulnerabilities in OpenSSL Vulnerability 6 June 2014 (CVE-2014-0224, CVE-2014-0221, CVE-2014-0195)? ===
| |
| <div style="background-color:#ba0c2f;font-size:1px;height:8px;border:1px solid #AAAAAA;"></div>
| |
| <div style="border:1px solid #ba0c2f;border-top:0px solid white;padding:5px 5px 0 5px;margin-bottom:3ex">
| |
| Die OpenSSL Verantwortlichen haben folgenden Advisory herausgegeben die folgende Vulnerability beschreiben:
| |
|
| |
| https://www.openssl.org/news/secadv_20140605.txt
| |
|
| |
| SSL/TLS MITM vulnerability (CVE-2014-0224)
| |
| DTLS recursion flaw (CVE-2014-0221)
| |
| DTLS invalid fragment vulnerability (CVE-2014-0195)
| |
| SSL_MODE_RELEASE_BUFFERS session injection or denial of service (CVE-2010-5298)
| |
| Anonymous ECDH denial of service (CVE-2014-3470)
| |
|
| |
| '''Impact'''
| |
| CVE-2014-0224 Erlaubt einem Angreifer in einem Network anhand einer "man-in-the-middle" Attacke die SSL Komunikation zu entschlüsseln.
| |
| CVE-2014-0221 Erlaubt es einem Angreifer einem DTLS Client anhand eines falschen "handshakes" ein "crash" auszulösen.
| |
| CVE-2014-0195 Erlaubt eine "buffer overrun attack" wenn falsche DTLS fragmente zu einem DTLS Client oder Server gesendet werden
| |
| CVE-2014-0198 und CVE-2010-5298 Erlaubt eine "denial of service" Attacke unter bestimmten Umständen dh. wenn "SSL_MODE_RELEASE_BUFFERS" aktiviert ist.
| |
| CVE-2014-3470 Erlaubt einem Angreifer einen "denial of service" Attacke zu "trigger" (in SSL Clients) wenn "anonymous ECDH ciphersuites" aktiviert ist.
| |
| CVE-2014-0076 Kann genutzt werden um "ECDSA nonces on multi-user systems" herauszufinden indem "timing attacks in CPU L3 caches" ausgeführt werden.
| |
|
| |
| '''NOTE''' Von "CVE-2014-3470 und CVE-2014-0076" sind die Fortinet Produkte nicht betroffen
| |
|
| |
| '''Affected Products'''
| |
| FortiOS, FortiClient, FortiSwitch, FortiAnalyzer, FortiManager, FortiMail, FortiAP, FortiVoiceOS,
| |
| FortiWeb, FortiAuthenticator, FortiDNS, FortiDDoS, FortiCache, FortiRecorder, FortiSandbox,
| |
| FortiADC, FortiADC-E, Equalizer LX/GX, AscenLink
| |
|
| |
| '''Risk'''
| |
| - FortiOS 4.x und 5.x sind betroffen bei CVE-2014-0224 und CVE-2014-0195 (betreffend CAPWAP Service).
| |
| - Zusätzlich in FortiOS 5.x SSL VPN und HTTPS Administration sind betroffen betreffend CVE-2014-0198 und CVE-2010-5298.
| |
| - FortiAP's sind betroffen bei CVE-2014-0224, CVE-2014-0221 und CVE-2014-0195.
| |
| - Alle anderen Produkte die unter "Affected Products" aufgeführt sind, sind durch CVE-2014-0224 betroffen.
| |
|
| |
| '''Workarounds:'''
| |
| FortiGuard hat eine IPS Signature "released" unter dem Namen "OpenSSL.ChangeCipherSpec.Injection" welche einen Schutz gegen CVE-2014-0224 bietet.
| |
| Auf FortiGate's auf denen keine FortiAP's benützt resp. über CAPWAP verwaltet werden sollte das CAPWAP Protokoll komplett deaktiviert werden um
| |
| dem Vulnerability CVE-2014-0195 entgegenzutreten. Wenn keine FortiAP's benützt/verwaltet werden, kann der Wireless Controller der über CAPWAP die
| |
| FortiAP's verwaltet komplett deaktiviert werden:
| |
|
| |
| # config system global
| |
| # set wireless-controller [enable / disable]
| |
| # end
| |
|
| |
| '''Firmware Updates'''
| |
| Fortinet setzt alles daran Software Fixes gegen diese Vulnerabilities so schnell wie möglich zu releasen!
| |
|
| |
| Nachfolgend der offizielle Link zur Fortinet Vulnerability Advisory:
| |
|
| |
| http://www.fortiguard.com/advisory/FG-IR-14-018/
| |
| </div>
| |
| === Fortinet "Heartbleed" OpenSSL Remote Memory Disclosure Vulnerability 8. April 2014 (CVE-2014-0160)? ===
| |
| <div style="background-color:#ba0c2f;font-size:1px;height:8px;border:1px solid #AAAAAA;"></div>
| |
| <div style="border:1px solid #ba0c2f;border-top:0px solid white;padding:5px 5px 0 5px;margin-bottom:3ex">
| |
| In der OpenSSL Version 1.0.1 wurde ein gravierender Bug gefunden der als "Hearbleed" bekannt ist. Wir empfehlen Ihnen die nachfolgenden Informationen gut durchzulesen und die nötigen Schritte zu veranlassen:
| |
|
| |
| '''Impact:'''
| |
| Beim "Heartbleed" Bug handelt es sich um einen "gravierenden" Bug in der populären "OpenSSL" cryptographic Software dh. viele Hersteller benützen
| |
| diese Software resp. Library um Verschlüsselungs Methoden für zB SSL-VPN Portal zur Verfügung zu stellen. Dabei ist zu beachten das die OpenSSL
| |
| Version 0.9.8 nicht von diesem Bug betroffen ist sondern die Version 1.0.1f und tiefer. Dieser Bug erlaubt unter "normalen" Umständen über SSL/TLS
| |
| geschützte Informationen von zB WebServer, MailServer oder VPN's auszulesen (Memory). Dieser "Heartbleed" Bug erlaubt es über normalen Zugriff zB
| |
| auf den WebServer das Memory auszulesen obwohl die Informationen über die OpenSSL Software geschützt wird. Über einen "Heartbleed" tauschen
| |
| Kommunikationspartner Statusinformationen aus, vor allem um festzustellen, ob das Gegenüber noch aktiv ist. Durch eine fehlende Überprüfung
| |
| eines Speicherzugriffs kann ein Angreifer dabei bis zu 64 KByte der Gegenstelle auslesen (Memory). Somit wird der Zugriff ermöglicht auf die
| |
| "secret keys" (private) die wiederum benutzt werden um die Informationen zu Verschlüsseln. Dies wiederum ermöglicht die Informationen durch
| |
| diese "secret keys" zu entschlüsseln und so an geschützte Informationen zu gelangen wie Passwörter etc. und somit können diese vom Server
| |
| entwendet werden. Tests haben gezeigt, dass durch diesen Angriff "secret keys" entwendet werden können und dadurch an geschützte Informationen
| |
| zu kommen die unter normalen Umständen durch diese "secret keys" geschützt werden.
| |
|
| |
| '''Affected Products:'''
| |
| OpenSSL 1.0.1, 1.0.1:beta1/2/3 1.0.1a 1.0.1b 1.0.1c 1.0.1d 1.0.1e 1.0.1f (0.9.8x as 1.0.0x not affected)
| |
| FortiGate (FortiOS) 5.0.0 bis 5.0.6
| |
| FortiClient 5.x
| |
| FortiAuthenticator 3.x
| |
| FortiMail 4.3.x and 5.x
| |
| FortiVoice models 200D, 200D-T und VM
| |
| FortiRecorder
| |
| FortiADC D-Series models 1500D, 2000D und 4000D
| |
| FortiADC E-Series 3.x
| |
| Coyote Point Equalizer GX / LX 10.x
| |
| FortiDDoS 4.x
| |
| FortiDNS
| |
| AscenLink v6.5 and 7.0
| |
|
| |
| '''References:'''
| |
| http://heartbleed.com/
| |
| http://www.fortiguard.com/advisory/FG-IR-14-011/
| |
| http://www.us-cert.gov/ncas/alerts/TA14-098A
| |
|
| |
| '''Solutions:'''
| |
| Fortinet wird für FortiGate's am 9. April 2014 01:00 eine neue FirmWare/Image zur Verfügung stellen!
| |
| Für FortiAuthenticator sowie FortiMail wird eine neue Firmware/Image am 11. April 2014 released.
| |
|
| |
| '''Workarounds:'''
| |
| Die betroffenen MailServer, WebServer etc. können über die IPS (Intrusion Prevention System) geschützt werden und zwar über eine
| |
| Custom Signature die folgendermassen aussieht:
| |
|
| |
| '''NOTE''' Die IPS Signature muss nicht mehr manuell erstellt werden, da diese mit der IPS Signaure Release Update 4.476 nun
| |
| auf der FortiGate zur Verfügung steht. Dies ist jedoch nur der Fall wenn der Device über einen aktiven FortiGuard
| |
| Maitenance Vertrag verfügt. Die IPS Signature in diesem besagten Update mit folgenden Namen zur Verfügung:
| |
|
| |
| "OpenSSL.TLS.Heartbeat.Information.Disclosure"
| |
|
| |
| # config ips custom
| |
| # edit "OpenSSL.TLS.Heartbeat.Information.Disclosure-custom.All"
| |
| # set action block
| |
| # set comment ''
| |
| # set signature "F-SBID( --attack_id 4982 \
| |
| # --name \"OpenSSL.TLS.Heartbeat.Information.Disclosure-custom.All\"; \
| |
| # --protocol tcp; --src_port 443; --flow from_server,reversed; \
| |
| # --pattern \"|18 03|\"; --context packet; --within 2,context; \
| |
| # --byte_test 2,>,100,1,relative; )"
| |
| # next
| |
| # end
| |
|
| |
| Diese Custome Signature muss nachträglich im entsprechenden IPS Profile eingebunden werden:
| |
|
| |
| # config ips sensor
| |
| # edit "ssl.heartbleed"
| |
| # config entries
| |
| # edit 1
| |
| # set action reset
| |
| # set rule 4982
| |
| # set status enable
| |
| # next
| |
| # end
| |
| # next
| |
| # end
| |
|
| |
| Danach muss der entsprechenden IPS Sensor zur entsprechenden Policy hinzugefügt werden:
| |
|
| |
| # config firewall interface-policy
| |
| # edit 0
| |
| # set interface "wan1"
| |
| # set srcaddr "all"
| |
| # set dstaddr "all"
| |
| # set service "HTTPS"
| |
| # set ips-sensor-status enable
| |
| # set ips-sensor "ssl.heartbleed"
| |
| # next
| |
| # end
| |
|
| |
| '''Hinweis:'''
| |
| Es muss berücksichtigt werden, dass auf einem WebServer, MailServer usw. bereits ein "Heartbleed" durchgeführt wurde und somit
| |
| die "secret key" Informationen ausgelesen wurden. In so einem Fall muss nach dem "Patchen" des System das "Private Certificate"
| |
| erneuert werden und event. darauf basierenden "Public Certificates" neu verteilt werden.
| |
|
| |
| Offizielle Informationen betreffend diesem Cert findet man im offiziellen Customer Support Bulleting der Fortinet:
| |
|
| |
| [[Fortinet:Support-Alerts#Fortinet_Information_Disclosure_Vulnerability_in_OpenSSL.3F]]
| |
| </div>
| |
| === FortiWeb Cross-Site Scripting Vulnerability 3. Februar 2014 (CVE-2013-7181)? ===
| |
| <div style="background-color:#ba0c2f;font-size:1px;height:8px;border:1px solid #AAAAAA;"></div>
| |
| <div style="border:1px solid #ba0c2f;border-top:0px solid white;padding:5px 5px 0 5px;margin-bottom:3ex">
| |
| Fortiweb 5.0.3 und frühere Versionen enthalten ein "cross-site-scripting Vulnerability! Betroffen davon ist ein "filter" Paramenter in der folgenden URL:
| |
|
| |
| /user/ldap_user/add
| |
|
| |
| '''Impact:'''
| |
| Durch diesen Vulnerability ist es möglich, dass ein unauthentifizierter Angreifer über diese URL und über den Browser des Endusers ein beliebiges Script zur Ausführung bringen kann.
| |
|
| |
| '''Affected Products:'''
| |
| FortiWeb 5.0.3 oder früher.
| |
|
| |
| '''Solutions:'''
| |
| Upgrade auf FortiOS 5.1.0.
| |
|
| |
| '''Refrences:'''
| |
| http://www.fortiguard.com/advisory/FG-IR-14-002/
| |
| </div>
| |
| === FortiWeb Stored Cross-Site Scripting Vulnerability 17. Januar 2014 (CVE-2014-1458)? ===
| |
| <div style="background-color:#ba0c2f;font-size:1px;height:8px;border:1px solid #AAAAAA;"></div>
| |
| <div style="border:1px solid #ba0c2f;border-top:0px solid white;padding:5px 5px 0 5px;margin-bottom:3ex">
| |
| Einem authentifizierten Administratoren ist es möglich ein "Java Injected Script" in ein spezifisches Feld auf dem Mgmt. Web Interface von Fortiweb zu speichern. Dieses "Java Injected Script" kann durch einen anderen Administrator über das spezifische Feld eingesehen werden.
| |
|
| |
| '''Affected Products:'''
| |
| FortiWeb 5.0.3 oder früher.
| |
|
| |
| '''Solutions:'''
| |
| Upgrade auf FortiOS 5.0.4.
| |
|
| |
| '''Refrences:'''
| |
| http://www.fortiguard.com/advisory/FG-IR-14-001/
| |
| </div>
| |
| === FortiAuthenticator Privilege Escalation Vulnerability 16. Dezember 2013 (CVE-2013-6990)? ===
| |
| <div style="background-color:#ba0c2f;font-size:1px;height:8px;border:1px solid #AAAAAA;"></div>
| |
| <div style="border:1px solid #ba0c2f;border-top:0px solid white;padding:5px 5px 0 5px;margin-bottom:3ex">
| |
| Am 15. Dezember 2013 hat Fortinet betreffend FortiAuthenticator eine Warnung rausgegeben (CVE-2013-6990) die folgendes umfasst:
| |
|
| |
| '''Impact:'''
| |
| Authentifizierte Admin User ist es möglich Zugriff auf die Shell des Systems zu erlangen! Dadurch können diese Admin
| |
| User System Kommandos ausführen, Zugriff auf das Filesystem erlangen und das im vollen Umfang (read/write).
| |
|
| |
| '''Affected Products:'''
| |
| FortiAuthenticator 1.x and 2.x
| |
|
| |
| '''Solutions:'''
| |
| Upgrade auf den FortiAuthenticator 3.0 empfohlen.
| |
|
| |
| '''NOTE''' Bei solch einem Upgrade ist folgendes zu berücksichtigen:
| |
|
| |
| [[FortiAuthenticator:FAQ#Upgrade]]
| |
| </div>
| |
| === FortiGate Multiple CSRF (Cross-Site Request Forgery) Vulnerabilities 1. July 2013 (CVE-2013-1414) ===
| |
| <div style="background-color:#ba0c2f;font-size:1px;height:8px;border:1px solid #AAAAAA;"></div>
| |
| <div style="border:1px solid #ba0c2f;border-top:0px solid white;padding:5px 5px 0 5px;margin-bottom:3ex">
| |
| Multiple CSRF (Cross-Site Request Forgery) vulnerabilities exist in FortiGate because GUI pages are not protected by CSRF token. It could allow remote attackers to hijack the authentication of arbitrary users under certain conditions:
| |
|
| |
| http://www.fortiguard.com/advisory/FGA-2013-22/
| |
|
| |
| '''Affected Products:'''
| |
| FortiGates running FortiOS 4.3.12 and prior versions, FortiGates running FortiOS 5.0.2 and prior versions
| |
|
| |
| '''Solutions:'''
| |
| Upgrade FortiGates to FortiOS version 4.3.13 or 5.0.3.
| |
|
| |
| '''References:'''
| |
| http://packetstormsecurity.com/files/122216/Fortigate-Firewall-Cross-Site-Request-Forgery.html
| |
|
| |
| '''Was ist eine CSRF (Cross-Site Request Forgery):'''
| |
| Basically an attacker could but a malicious script somewhere. If the browser used to configure FGT is running that
| |
| script while logged-on in FOS GUI in anther windows or tab, the attackers script can control the FGT with the
| |
| logged-on users rights in the background. Since this vulnerability can only be exploited in this certain situation,
| |
| we suggest to NOT have any other tabs or windows open in the browser used to configure the FGT.
| |
| </div>
| |
|
| |
|
| == Support Alert == | | == Support Alert == |
Fortigate:Support-Alerts
Vorwort
Diese Seite informiert über Aktuelle Support Informationen sogenannte "Support Bulletin" von Fortinet!
Datenschutz
*********************************************************************
* *
* THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY *
* PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING, *
* DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM *
* ALSO SCHWEIZ AG SWITZERLAND. *
* *
*********************************************************************
"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung von der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht
bekannt gemacht werden"
Nuetzliche Links
PSIRT Blog Fortinet:
kann auch als RSS Feed gezogen werden!
Fortinet Security Vulnerability Policy
Häufige Fragen werden hier beantwortet:'
Wenn ich eine Sicherheitslücke in einem Fortinet Produkt finde, kann ich diese über folgendes Formular direkt an Fortinet melden:
Customer Support Bulletin:
kann auch als RSS Feed gezogen werden!
add 28.10.2022 - 4Tinu
Vulnerabilities
|
FortiManager Missing authentication in fgfmsd - CVE-2024-47575
Problembeschreibung:
Eine fehlende Authentifizierung für eine kritische Funktion [CWE-306] im FortiManager fgfmd Daemon kann es einem entfernten,
nicht authentifizierten Angreifer mit einem gültigen Fortinet-Zertifikat,
das von einem Fortinet-Gerät oder einer VM extrahiert wurde, ermöglichen, beliebigen Code oder Befehle über speziell gestaltete Anfragen
auszuführen.
Auswirkung: Unautorisierte Ausführung von Code oder Befehlen
Details: Ein entfernter, nicht authentifizierter Angreifer kann Berechtigungen umgehen und unautorisierte Befehle ausführen, was den Download von FortiManager-Konfigurationen ermöglichen kann, einschliesslich derjenigen der verwalteten FortiGate-Geräte.
FG-IR: FG-IR-24-423
Bedrohungslevel:
- Severity Critical
- Die Bedrohung wird mit einem CVSSv3 Score von 9.8 eingestuft!
Betroffene Systeme:
- FortiManager 7.6.0 und älter
- FortiManager 7.4.0 bis 7.4.4
- FortiManager 7.2.0 bis 7.2.7
- FortiManager 7.0.0 bis 7.0.12
- FortiManager 6.4.0 bis 6.4.14
- FortiManager 6.2.0 bis 6.2.12
- FortiManager Cloud 7.6 ist nicht betroffen
- FortiManager Cloud 7.4.1 bis 7.4.4
- FortiManager Cloud 7.2.1 bis 7.2.7
- FortiManager Cloud 7.0.1 bis 7.0.12
- FortiManager Cloud 6.4 sind alle Versionen betroffen
Lösung:
Auf folgende Versionen kann upgedatet werden, damit diese Sicherheitslücke geschlossen wird:
- Upgraden auf die FortiManager Cloud Version 7.4 upgraden auf die Version 7.4.5 oder höher
- Upgraden auf die FortiManager Cloud Version 7.2 upgraden auf die Version 7.2.5 oder höher
- Upgraden auf die FortiManager Cloud Version 7.0 upgraden auf die Version 7.0.5 oder höher
- Upgraden auf die FortiManager Cloud Version 6.4 auf eine höhere GA Version upgraden/migrieren
Die alten FortiAnalyzer-Modelle
- 1000E
- 1000F
- 2000E
- 3000E
- 3000F
- 3000G
- 3500E
- 3500F
- 3500G
- 3700F
- 3700G
- 3900E
mit der folgenden aktivierten Funktion (FortiManager auf FortiAnalyzer):
Konfiguration über die CLI:
|
config system global
set fmg-status enable
end
|
Ebenfalls ist mindestens ein Interface mit aktiviertem fgfm-Dienst von dieser Sicherheitslücke betroffen.
Workarounds:
Massnahme 1:
Auf dem FortiManager der Versionen <=7.0.12, <=7.2.5 oder <=7.4.3 (ausser 7.6.0) kann mit folgender Konfiguration verhindert werden, dass unbekannte Geräte sich versuchen zu registrieren:
Konfiguration über die CLI:
|
config system global
set fgfm-deny-unknown enable
end
|
Wenn du diese Einstellung aktivierst, verhindert FortiManager, dass sich ein FortiGate-Gerät registriert, falls dessen Seriennummer nicht in der Geräteliste hinterlegt ist, selbst wenn das Modellgerät und der vorab geteilte Schlüssel (PSK) übereinstimmen.
|
|
Massnahme 2:
Für alle FortiManager ab der Version 7.2.0 kannst du Abhilfemassnahmen ergreifen, indem du lokale Firewallregeln (Local-In-Regeln) erstellst.
Damit kannst du die IP-Adressen der FortiGate-Geräte, welche eine Verbindung herstellen dürfen, auf eine Freigabeliste zu setzen.
Alternativ kannst du dies auch über einer externen Firewall welche vor dem FortiManager platziert ist, im Regelset konfigurieren.
Um eine lokale Firewallregel auf dem FortiManager zu konfigurieren, die Verbindungen von einem bekannten Subnetz, z. B. 198.18.250.0/24 (Verwaltungsnetzwerk),
sowie der spezifischen IP-Adresse 10.250.17.2 (FortiGate-Gerät) zulässt, verwende folgende Regeln:
Konfiguration über die CLI:
|
config system local-in-policy
edit 1
set action accept
set src 198.18.250.0/24
set dport 443 <--- WebGui Adminport
next
edit 2
set action accept
set src 198.18.250.0/24
set dport 22 <--- SSH Adminport
next
edit 3
set action accept
set src 10.250.17.2/32
set dport 541 <--- Erlaube nur TCP/541 von bekannten FortiGate-IP-Adressen.
next
edit 4
next
end
|
Es ist wichtig zu beachten, dass die Regel 4 im Beispiel alle Einstellungen auf "Standard" hat.
Dadurch wird diese zu einer expliziten Drop-Regel, die den Zugriff von allen anderen IP-Adressen blockiert.
|
|
Weitere Informationen betreffend Local-In-Regeln auf dem FortiManager findet man im CLI Guide:
Massnahme 3:
Für Versionen 7.2.2 und höher, 7.4.0 und höher, 7.6.0 und höher ist es auch möglich, ein benutzerdefiniertes Zertifikat zu verwenden, um die Sicherheitslücke zu beheben:
Konfiguration über die CLI:
|
config system global
set fgfm-ca-cert <Zertifikat>
set fgfm-cert-exclusive enable
end
|
- Installiere dieses Zertifikat auf den FortiGate-Geräten.
- Nur dieses CA-Zertifikat wird akzeptiert.
- Dies bietet einen zusätzlichen Schutz, sofern der Angreifer kein Zertifikat erhält, das von dieser CA signiert wurde.
|
Für FortiManager-Versionen 6.2, 6.4 und 7.0.11 und darunter, führe bitte ein Upgrade auf eine der oben genannten Versionen durch und wende die entsprechenden Workarounds an.
|
Weitere Informationen findet man unter folgenden externen Artikeln:
PSIRT - FortiGuard:
Informationen CVE-2024-47575
Informationen auf Heise.de:
Google:
add 14.10.2024 - 4Tinu
|
Support Alert
Was ist die Fortinet Support Bulletin Anouncing Page?
Fortinet Support Bulletin Announcing Page ist eine Seite in der Fortinet von Zeit zu Zeit wichtige Informationen zu BugFixes, Critical Bugs im Zusmmenhang mit dem Support der Fortinet Produkte lanciert:
Support Alert Meldungen
Hier findet man die Support Alert Meldungen welche wir noch ein wenig mit Hintergrund Informationen versuchen zu ergänzen:
|
FortiOS 7.0.4 Proxy-Modus Applikations Kontrolle - CSB-220207-1
Beschreibung:
Beim FortiOS 7.0.4 gibt ein potenzielles Problem mit Applikationscontroll Profile welche im Proxymodus verwendet werden.
Dabei werden SSL-insertifizierte Session vorzeitig geschlossen, was zu einem Unterbruch des Datentraffics führt.
Das Verhalten wird möglicherweise nicht sofort nach dem Upgrade auf 7.0.4 sichtbar sein.
Profile im Flow Modus sind davon nicht betroffen:
Betroffene Produkte:
Betroffene Betriebsysteme
Workaround im 7.0.4:
- Anstatt Proxy basierte Profile momentan Flow basierte Profile benutzen.
- Wenn das Problem auftritt, kann vorübergehend das starten des Wad-Proxy helfen:
diag test application wad 99
Konfiguration über die CLI:
|
diagnose test application wad 99
|
Lösung:
Im FortiOS 7.0.5 ist dieses Problem behoben. Daher empfehlen wir von 7.0.4 auf 7.0.5 upzugraden
Quelle:
https://support.fortinet.com/Information/Bulletin.aspx Bulletin CSB 220207-1 vom 9.2.2022
|
|
Zugriff auf Websites mit SSL-Überprüfung blockiert
Es scheint ein anhaltendes Problem mit der Zertifikatskette einer Stammzertifizierungsstelle (ISRG Root X1) zu geben.
Dieses Problem betrifft alle Anbieter von SSL-Inspektionsprodukten, unabhängig davon Full-Inspektion oder Zertifikats Inspektion verwendet wird.
|
Dieser Issue wird mit den folgenden FortiOS Releases behoben:
- FortiOS 6.2.10
- FortiOS 6.4.8
- Im FortiOS 7.0.3 ist der Bug leider immer noch enthalten.
Genaueres findet man in den Release Notes der entsprechenden Versionen unter Know Issues und Resolved Issues
|
Es besteht folgender Workaround (Stand 05.10.21):
Das Certificate Bundle (Version 1.28), welches die Expired Certificates ersetzt, ist neu auf FortiGuard erhältlich, und wird im Rahmen geplanter FortiGuard-Updates automatisch heruntergeladen.
Um dies zu valideren, ist folgender CLI-Befehl zu verwenden:
Konfiguration über die CLI
|
# diagnose autoupdate versions | grep -A5 '^Cert'
Certificate Bundle
---------
Version: 1.00028
|
Um das Certificate Bundle manuell upzudaten, ist folgender CLI-Befehl zu verwenden:
Konfiguration über die CLI
|
# execute update-now
|
Sobald das Certificate Bundle upgedatet wird, ist der Workaround anwendbar. Um sicherzustellen, dass das Expired Root CA nicht mehr verwendet wird, ist DNS Blackholing notwendig, welches FortiGate den Zugang zu apps.identrust.com blockiert.
Folgend ein Beispiel einer möglichen Konfiguration:
Konfiguration über die CLI
|
config system dns-database
edit "1"
set domain "identrust.com"
set authoritative disable
config dns-entry
edit 1
set hostname "apps"
set ip 127.0.0.1
next
end
next
end
*Hinweis: Sobald apps.identrust.com keine Expired CA Certificates mehr sendet, kann die Konfiguration entfernt werden
*Hinweis: Mittels Teil-Befehl "set authoritative disable" werden andere FQDNs (z.B. commercial.ocsp.identrust.com) weiterhin resolved
|
Sobald das oben-erwähnte DNS Blackholing aktiviert wird, können folgende (vorher getätigte) Änderungen wieder rückgängig gemacht werden:
1) Von Proxy zu Flow Inspection
2) Zwischenzeitliches Erlauben von Expired Certificates
Mehr Details zu den oberen Schritte findet man unter folgendem Link:
https://kb.fortinet.com/kb/documentLink.do?externalID=FD53305 -> "Technical Tip: Expiring Let’s Encrypt Certificates"
Wichtig: Falls das Problem weiterhin auftaucht, muss eventuell noch der IPS und WAD Cache gelehrt werden (siehe Details im oben-erwähnten KB-Artikel/Link)
Weitere, generelle Informationen findet man unter folgendem Link:
https://www.fortinet.com/blog/psirt-blogs/fortinet-and-expiring-lets-encrypt-certificates
Danke an Stefanie vom TAC Frankfurt, welche uns diese Information zugestellt hat
|
|
FortiAP Wireless Access Point upgrade Issue with HPE PoE Switches - CSB-210127-1
Wenn der Power over Ethernet (PoE)-Switch der Marke Hewlett Packard Enterprise (HPE) während eines Upgrades
für mehr als 120 Sekunden keine LLDP-Antwort (Link Layer Discovery Protocol) empfängt, kann er
die angeschlossenen FortiAP-Einheiten einseitig zurücksetzen oder ausschalten. Dies kann zum Anhalten des Upgrades
auf halbem Weg abbricht und somit zu einem Upgrade-Fehler führen kann. Dieses Problem kann auftreten, wenn ein Upgrade versucht wird
von einer beliebigen Software-Version 6.4.2 oder früher. Wenn die FortiAP-Einheit nicht mehr reagiert, wenden Sie sich bitte an den
Technischen Support von Fortinet.
Es kann ein Problem geben, wenn man einen FortiAP an einem POE-Switch von Hewlett Packard Enterprise (HPE) angeschlossen hat und den FortiAP upgraden will. Das Problem zeigt sich, wenn der FortiAP welcher am upgraden ist,
für mehr als 120 Sekunden keine LLPD Antwort ((Link Layer Discovery Protocol)) empfängt. Der FortiAP kann sich einseitig zurück setzen oder wird ausgeschalten. Dies kann zum stop oder Unterbruch des Upgrades führen und generiert so einen Upgrade Fehler.
Dieses Problem kann auftreten wenn ein FortiAP von einer x-beliebigen Software bis 6.4.2 einen upgrade durchführt.
Falls dieses Problem auftritt und der FortiAP nicht mehr reagiert, kann man sich an den TAC Support von Fortinet wenden. (Ticket mit der Serienummer des betroffenen FortiAP eröffnen.
Betroffene Produkte:
- Alle FortiAP Modelle der Serie E
- FortiAP 431F und 433F
Betroffene OS Versionen:
- FortiAP-W2 : 6.0 , 6.2, 6.4.0-6.4.2 (Für die E- Serie)
- FortiAP : 6.4 buld 5760 (für F-Serie 431F und 433F)
Workaround
Auf den HPE PoE-Switches müssen zuerst die LLDP-Funktion den Ports deaktivieren, auf welchem die FortiAP angeschlossen sind, welche upgegradet werden sollen.
Alternativ kann man auch global die LLPD Funktion deaktivieren.
gesamten Switch.
Konfiguration auf dem HPE Switch:
Lösung
Fortinet löst dieses Problem für FortiAP der Serie E im FortiOS FortiAP-W2 6.4.3 Build 0451
Für die FortiAP 431F und 433F wird es im FortiAP 6.4.3 Build 0155 behoben.
Nachdem alle betroffenen FortiAPs erfolgreich auf die Firmware Version 6.4.3 oder höher aktualisiert wurden, kann die LLDP-Funktion auf den Switches wieder aktiviert werden.
Customer Support Bulletin CSB-210127-1 vom 27.Januar 2021
|
Fortinet Announced neue MAC-Adressen für AccessPoints (FAP)?
Bis anhin hat Fortinet Access Points ausgeliefert basierend auf der MAC Adresse "00:09:0F" (Stand April 2013). Diese MAC Adresse ist direkt verknüpft mit der FortiOS Software auf de Access Points für vers. Funktionen. Nun aus nicht bekannten Gründen werden neu ausgelieferte Fortinet Access Points mit der MAC Adresse "08:5B:0E" ausgeliefert. Dies kann (muss nicht) zu Problemen führen im Betrieb da wie schon erwähnt die MAC Adresse mit dem FortiOS verknüpft ist. Um diese Probleme zu verhindern ist zu beachten mind. FortiOS 5.0.3 auf den Access Points einzusetzen da in diesem Patch Release dem Umstand der neuen MAC Adresse Rechnung getragen wird. Wenn dem nicht Rechnung getragen wird dh. neue MAC Adresse mit FortiOS 5.0.2 auf den Access Points betrieben wird kann dies zu Problemen führen. Nachfolgendes Dokument wurde von Fortinet betreffend diesem Umstand als "Customer Support Bulletin" herausgegeben:
Datei:CSB-130403-1-FortiAP-MAC-Addresses.pdf
Wir bitten allen Kunden zukünftig auf den Access Points mind. FortiOS 5.0.3 einzusetzen. Wenn die Access Points im Zusammenhang mit FortiGate FortiOS 4 MR3 eingesetzt werden siehe folgender Artikel:
FortiAP:FAQ#Welche_Firmware_sollte_auf_einer_FortiGate_und.2Foder_FortiAP_benutzt_werden.3F
Fortinet zieht FortiGate FortiOS 4.3 Patch 13 zurück?
Fortinet hat am 7. May 2013 die neue Firmware für FortiGate's FortiOS 4 MR3 Patch13 zur Verfügung gestellt und hat diese am gleichen Tag zurückgezogen. Probleme gab es im IPSec Bereich (Phase 2) durch die Definition eines Subnets. Als Workaround kann in der Phase2 der Selektor die IP als Bereich definiert werden zB. 192.168.1.1-192.168.1.255. Ist der Selektor als IP in der Form 192.168.1.0/24 definiert kommt es zu Problemen. Weitere Informationen im offiziellen "Customer Support Bulletin" von Fortinet:
Datei:CSB-130507-1-FortiOS-IPSec-VPN.pdf
Wir bitten alle Kunden diese Release nicht zu benutzen und falls bereits angewendet ein Rollback durchzuführen oder als letzte Möglichkeit den Workaround anzuwenden!
NOTE Am 17. Mai 2013 wurde Patch 14 Released. In diesem Release wurde der Fehler
korrigiert. Wir bitten alle Kunden die den Patch 13 verwenden mit dem
Workaround ein Upgrade auf Patch 14 durchzuführen!
FortiGate/FortiOS Ports down after 248 days of operation?
Bei unten aufgeführten FortiGate Modellen/FortiOS Versionen kann es bei 1G und 10G Ports zu bestimmten Symptomen kommen. Dies speziell nach 248 Tagen dh. Diese Symptome treten nicht per Standard auf sondern treten nur auf wenn auf FortiOS Ebene eine bestimmten Konstellation eintritt. folgende Symptome können auftreten:
Link negotiation errors
Port status down
Port satus up but no traffic passing
Link failure
Port interface statistic rx/tx not correct
Folgende Modelle und Module sind betroffen:
FortiGate: 600C/800C/1000C/1240B/3040B/3140B/3240C/3950B/3951B/5001B/5101C/5203B
FortiGate FMC Module: C20/F20/XD2
FortiCarrier: 3950B/3951B/5001B
Folgende FortiOS Pachlevel sind betroffen:
FortiOS 4.0 MR2 GA to Patch Release 12 (4.2.12)
FortiOS 4.0 MR3 GA to Patch Release 8 (4.3.8)
FortiOSCarrier 4.0 MR2 GA to Patch Release 12 (4.2.12)
FortiOSCarrier 4.0 MR3 GA to Patch Release 8 (4.3.8)
Ein Workaround ist auf den letzen FortiOS Patchlevel upzugraden. Wenn das Symptome auftritt sollte für eine sofortige Lösung der Device neu gestartet werden! Folgende Support Bulletin von Fortinet gibt Auskunft über dieses Issue:
Datei:CSB-270513-1-port-down-248-days-1.pdf
Der FortiAnalyzer 4.0 MR3 Patch 6 FIPS und CC Zertifiziert?
FortiClient AV update package causes connectivity issues?
Am 19. Juli 2013 wurde durch Fortinet über das FortiGuard Environment ein Antivirus Definition File Update bereitgestellt mit der Version 17.940! Diese Version des Antivirus Definiton File beinhaltete ein "False Positive". Dies bedeutet das Microsoft File "tcpip.sys" wurde fälschlicherweise als Virus erkannt. Durch diesen "False Positive" wurde das File - sofern auf dem Client ein "scheduled scan" durchgeführt wurde - in die Quarantine verschoben. Effekt daraus war, dass die Netzwerkverbindung des betroffenen Client - durch das verschieben des genannten Files - unterbrochen wurde sowie nicht mehr funktionierte da dieses File "tcpip.sys" benötigt wird auf einem Client um eine erfolgreichen Netzwerkverbindung zu etablieren.
Dieser "False Positive" wurde durch das Defintion File Update am 22. Juli 2013 mit der Version 17.943 korrigiert!
Workaround um den "False Positvie" zu beheben:
Kontrollieren Sie im FortiClient ob das File "tcpip.sys" sich in der Quarantine befindet:
FortiClient Console > Klicke auf AntiVirus > danach wähle "Threats Quarantined"
Befindet sich das File "tcpip.sys" in der Quarantine führe folgendes durch:
1. Download the TCPIP-fix.zip file from the following location and copy to a USB flash drive or similar media:
ftp://ftp-temp:r3triev3@support.fortinet.com/dropbox/CSB_Forticlient_17.940/TCPIP-fix.zip
2. Disable the "Real Time Protection" from the FortiClient Console.
3. Shutdown the FortiClient software.
4. Open the cmd prompt with "Run As Administrator" privilege.
5. Perform the command "net stop fortishield".
6. Transfer the TCPIP-fix.zip to the workstation from the USB flash.
7. Extract TCPIP-fix.zip into a folder.
8. Using the command line interface, browse to the extracted folder.
9. Perform "runme.bat" and wait for the script to finish. You will see the following message in the CMD window:
Please reboot when Windows reports that it has finished installing adapters.
Press any key to continue . . .
10. In the Windows tray, you will see a message "Installing device driver software" and then a second message "Your device is ready to use".
11. Reboot the PC.
12. After the reboot and the network is restored, update the FortiClient AV signatures.
13. Re-enable "Real Time Protection" from the FortiClient Console.
Weitere Informationen können über das offizielle Dokument des Support Bulletins entnommen werden:
Datei:CSB-130724-1 FCT AV package network issue.pdf
FortiWeb connection timeouts during IP Reputation service update?
Bei WebServer'n die über FortiWeb geschützt werden -im Zusammenhang mit dem auf dem FortiWeb aktivierten Service "IP Reputation"- kommt es zu "Connection Timouts". Dieser Fehler stammt vom FortiOS das auf dem FortiWeb eingesetzt wird. Die Auswirkungen sind Performance Einbussen die den Zugriff auf die Web Server die über FortiWeb geschützt werden verlangsamen. Wenn dieser Umstand eintrifft wird auf der Console folgendes angezeigt:
get IP intelligence hash node error(1000000)
Betroffen von diesem Fehler sind folgende FortiOS im Zusammenhang mit FortiWeb:
5.0.0, 5.0.1, 5.0.2
Als Lösung sollte das FortiOS des FortiWeb auf folgenden Release gebracht werden:
5.0.3
Wennn dies nicht möglich ist kann als Workaround der Service/Funktion auf dem FortiWeb der "IP Reputation" deaktiviert werden! Weitere Auskunft gibt folgendes Dokument der diesen Support Alert adressiert:
Datei:CSB-131018-1 FWB Connection Timeouts IP Reputation.pdf
FortiGate Heartbeat Failures if the system uptime is greater than 497 days?
Wenn ein FortiGate HA Cluster mehr als 497 Tage "up and running" ist kommt es zu "heartbeat" Fehlern! Folgende FortiOS sind betroffen:
FortiOS 4.0.0 - 4.3.15
FortiOS 5.0.0 - 5.0.4
Um den Uptime zu überprüfen führe folgendes Kommando aus:
# get sys performance status
Um den "heartbeat" Fehler zu beheben führen einen Neustart des Cluster's durch um die "Sys Uptime" zurück zustellen! Weitere Auskunft gibt folgendes Dokument der diesen Support Alert adressiert:
Datei:CSB-131106-1 FGT Heartbeat failures 497 days.pdf
FortiGate System Freeze mit FortiOS 5.0.5 FGT-3810A / FGT-5001B/C?
Einge Modelle von FortiGate dh. FGT-3810A / FGT-5001B/C mit FortiOS 5.0.5 sind von folgenden Umstand betroffen:
Wenn "heavy-load" im Zusammenhang mit HTTP Traffic auftritt kann ein System Freeze eintreten!
Wenn dies eintritt ist die CLI sowie das Web Mgmt. Interface nicht mehr zugänglich. Dieser Umstand tritt nur auf im Zusammenhang mit den genannten Geräten, bestimmten NP4 Prozessoren und VLAN's sowie FortiOS 5.0.5! Fortinet wird am November 22, 2013 für die betroffenen Geräte einen Patch zur Verfügung stellen. Weitere Informationen findet man im foglenden Support Alert Dokument:
Datei:CSB-131113-1 FGT NP4 Hang Issue.pdf
FortiGuard updates to FortiOS 2.8 to finish?
Am 28. November 2013 kündigt Fortinet an das FortiOS basierend auf Version 2.8 EOL (End Of Life) geht dh. speziell für die IPS Engine 1.000 sowie AV Engine 3.003 werden keine Updates mehr zur Verfügung gestellt sowie die Entwicklung wird eingestellt. Alle FortiGate's basierend auf FortiOS 2.8 sollten so schnell als möglich auf die Version 3.0 gebracht werden um weiterhin betreffend Support sei es IPS und/oder AV Engine zu gewährleisten.
Diese Ankündigung wurde von Fortinet unter folgendem Customer Support Bulletin herausgegeben CSB-131126-1.
FortiGate/FortiManager IPS Engine update Januar/Februar 2014?
IPS Engine Updates werden über FortiGuard für Customer mit gültigen FortiGuard Service periodisch zur Verfügung gestellt. Dabei handelt es sich nicht um die IPS Signaturen sondern die Engine selber. Die nächste zur Verfügung stehenden IPS Engine Update Version ist die Version 2.174. Diese Engine wird allen FortiGate Devices mit FortiOS 5 sowie FortiOS 4.3.12 oder höher gemäss nachfolgenden Zeitplan automatisch zur Verfügung gestellt:
January 27th 10:00 PST – Remaining FortiGate units running 4.3.12 or later patch releases
January 29th 10:00 PST – Premium support customer devices running 4.3.12 or later patch releases
February 10th 10:00 PST – All FortiManager’s running 4.3.x or 5.0.x software and providing IPS packages to FortiGates running 4.3.12 or later patch releases and all 5.0 versions
NOTE In seltenen Fällen kommt es zu kurzfristigen "High CPU" Situation der IPS Engine. Diese "High CPU" Situation
sind nur vorübergehender Natur dh. wenn die "High CPU" Situation permanent besteht siehe nachfolgender Artikel:
FortiGate-5.0-5.2:FAQ#Wie_kann_ich_rausfinden_was_ein_High_CPU_verursacht_und_was_kann_ich_dagegen_tun.3F
Wenn Probleme erwartet werden auf der FortiGate etc. kann das automatische Update ebenfalls komplett deaktiviert werden und manuell innerhalb eines Wartungsfenster installiert werden. Dazu stellt Fortinet folgenden Link zur Verfügung um das Packet über folgende Position manuell einzuspielen:
ftp://ftp-temp:r3triev3@support.fortinet.com/CustomerCare/flen-400-2.0174.pkg
Einzuspielen über die Position:
System > Config > FortiGuard > FortiGuard Subscription Services > IPS Definitions > Update
Um nachträglich die IPS Version auf dem FortiGate Device zu Ueberprüfen kann folgender Befehl auf der CLI ausgeführt werden:
# get syst auto-update version
IPS Attack Engine
--------- Version: 2.00137
Diese Ankündigung wurde von Fortinet unter folgendem Customer Support Bulletin herausgegeben CSB-140110-1.
Fortinet Information Disclosure Vulnerability in OpenSSL?
FortiGuard Updates für FortiOS 3.0 End Of Life?
Fortinet kündigt an, dass die Antivirus Engine (AVE) und IPS Engine (IPSE) im Zusammenhang mit FortiOS 3.0 end of life geht (Juli 2014). Bis Januar 2015 werden keine AV-Engine und/oder IPS-Engine Signaturen Packages für FortiOS 3.0 zur Verfügung gestellt. Ab Januar 2015 wird der Support für FortiOS 3.0 im Zusammenhang mit AV-Engine/IPS-Engine sowie Signaturen Package im FortiGuard Distribution Network komplett eingestellt.
Folgende Produkte sind betroffen:
Alle FortiGate Modelle mit installiertem FortiOS 3.0
Letzte unterstützte Engine Version basiernd auf FortiOS 3.0 - 3.0 MR5:
IPS Engine: 1.097
AV Engine: 3.010
Letzte unterstützte Engine Version basiernd auf FortiOS 3.0 MR6:
IPS Engine: 1.129
AV Engine: 3.010
Fortinet empfiehlt allen Kunden ein Upgrade auf 4.0 oder höher. Diese Ankündigung wurde von Fortinet unter folgendem Customer Support Bulletin herausgegeben CSB-140514-1:
Datei:CSB-140514-1 FGD updates 30 .pdf
FortiDDoS upgrading to 4.1.0 / 4.1.1
Fortinet hat ein Support Bulletin herausgegeben betreffend FortiDDoS Upgrade auf 4.1.0 / 4.1.1. In diesem Support Bulletin wird darauf hingewiesen, dass beim einem Upgrade für FortiDDoS 4.1.0 / 4.1.1 den Release Notes strikte zu folgen ist speziell betreffend Bios Konfiguration. Um den Upgrade Prozess einfach zu gestalten hat Fortinet dieses Upgrade aus dem Downloadbereich entfernt. Kunden die in der Zwischenzeit ein Upgrade betreffend FortiDDoS 4.1.0 / 4.1.1 durchführen wollen müssen -da das Image über den Downloadbereich nicht mehr zur Verfügung steht- ein Ticket eröffnen. Nach dem eröffnen des Tickets erhält der Kunde Hilfe wie das Upgrade durchzuführen ist sowie das Image für das Upgrade selber. Diese Ankündigung wurde von Fortinet unter folgendem Customer Support Bulletin herausgegeben CSB-140702-1 / CSB-140728-1:
Datei:CSB-140702-1 FDD upgrade.pdf
FortiGate FortiOS 5.2.1 "IPSec tunnels (DHCP interface) do not come up after reboot"?
Fortinet hat ein Support Bulletin rausgebracht betreffend FortiOS 5.2.1 im Zusammenhang mit IPSec und DHCP Interface. Wenn ein IPSec Tunnel konfiguriert wird basierend auf einem FortiGate Interface (zB wan1) das dessen IP über DHCP bekommt wird der IKE Deamon/Service nach einem Neustart der FortiGate nicht mehr gestartet. Der Grund dafür ist der Folgende: Nach dem Neustart versucht der IKE Deamon den lokalen Gateway zu verifizieren. Da dies nicht möglich ist wird der IKE Deamon/Service nicht gestartet. Dieser Umstand betrifft "nur" Interface's die Ihre IP über einen DHCP Server bekommen dh. Interface's die statisch konfiguriert sind, sind nicht betroffend von diesem Umstand. Dieses Problem ist bekannt unter Bug ID:
Reference Bug ID: 254898
Affected Products:
Alle FortiGate basierend auf FortiOS 5.2.1 (FortiOS 5.2.0 ist nicht betroffen)
Workaround:
Um diesem Bug entgegenzutreten gibt es vers. Workaround:
Workaround 1: Nachdem Neustart/Reboot muss der IKE Deamon manuell neu gestartet werden:
Benütze auf der Kommandozeile folgendes Kommando:
# diagnose sys top 20 40
# diagnose sys kill -9 <pid>
Beispiel:
# diagnose sys top 20 40
...
iked 70 S 0.0 1.1
# diag sys kill -9 70
NOTE Um die Prozess ID des IKE Deamons/Service zu erurieren kann ebenfalls folgender Befehl benützt werden:
# fnsysctl more /var/run/iked.pid
70
Workaround 2: Roll-back resp. Downgrade auf 5.2.0 (Diesen Weg empfehlen wir nicht).
Workaround 3: Sofern möglich Konfiguration einer "statischen" IP auf dem FortiGate Interface.
Resolution:
Dieser Bug mit der ID 254898 wird in FortiOS 5.2.2 behoben sein. Release Datum für diese Version ist voraussichtlich 10. Oktober 2014.
Diese Ankündigung wurde von Fortinet unter folgendem Customer Support Bulletin herausgegeben CSB-140924-1:
Datei:CSB-140924-1 IPSec DHCP Interface.pdf
FortiGate-100D 4th Generation Supported Code Versions (Inkompatibilität zu FortiOS Versionen)?
Fortinet hat für die FG-100D eine 4te Generation released. Bei diesem Release der Hardware sprich der 4ten Generation "kann" eine Inkompatibilität auftreten mit vers. FortiOS Versionen. Wenn so eine Inkompatibilität existiert/eintritt kann der Device nicht ordnungsgemäss Neu gestartet werden (unit fails to boot-up).
Affected Products:
FG-100D in der 4ten Generation können folgendermassen Identifiziert/verifiziet werden:
# get system status
Wenn im Output folgende Part Nummer erscheint handelt es sich um eine FG-100D in der 4ten Generation:
Part Number: P11510-04
Eine FortiGate-100D in der 4ten Generation trägt die folgende Hardware ID:
Hardware ID: C4LL40-04AA-0000
Folgende Serien Nummern sind betroffen:
Serial Number: FG100D3G14812216 und höher
Ebenfalls sind folgende Serien Nummern betroffen:
FG100D3G14808002
FG100D3G14808003
FG100D3G14808005
FG100D3G14808006
FG100D3G14808007
FG100D3G14808008
FG100D3G14808009
FG100D3G14808010
FG100D3G14808011
FG100D3G14808013
FG100D3G14808014
FG100D3G14808015
Affected Products:
FortiOS Versionen 4 MR3 ausser 4 MR3 Patch 18
FortiOS Versionen 5.0 ausser 5.0 Patch 8
Resolution:
Update oder neu Staging des Devices auf FortiOS 4 MR3 Patch 18 und/oder FortiOS 5.0 Patch 8
Diese Ankündigung wurde von Fortinet unter folgendem Customer Support Bulletin herausgegeben CSB-141117-1:
Datei:CSB-141117-1-100D-Supported-Code-Version.pdf
FortiGate FG-80C fails to load FortiOS image 5.2.x?
Fortinet hat ein Support Bulletin rausgebracht betreffend FortiOS 5.2 im Zusammenhang mit dem Upgrade Prozess auf 5.2.0, 5.2.1, or 5.2.2 einer FortiGate/WiFi 80C. Dies bedeutet: Wird ein Upgrade durchgeführt auf die genannten Versionen und der Device der FortiGate/WiFi 80C verfügt über ein Bios Version "4000007" oder tiefer "kann" es zu einem Fehler führen. Die Bios Version kann mit folgenden Kommando "vor" einem Upgrade verifiziert werden:
# get sys status
Version: FortiWiFi-80CM v5.0,build0292,140801 (GA Patch 9)
Virus-DB: 16.00560(2012-10-19 08:31)
Extended DB: 1.00000(2012-10-17 15:46)
IPS-DB: 4.00345(2013-05-23 00:39)
IPS-ETDB: 0.00000(2001-01-01 00:00)
Serial-Number: FW80CM3900000000
Botnet DB: 1.00000(2012-05-28 22:51)
BIOS version: 04000006
Log hard disk: Not available
Affected Products:
FortiGate: FG-80C, FG-80CM
FortiWiFi: FW-80CM, FW-81CM
Resolution:
Die Software Version resp. Image der "Affected Products" wurden neu erstellt basierend auf FortiOS 5.2.2 und über den Download
Bereich neu zur Verfügung gestellt. Die neu erstellten Images tragen das Datum vom 6. Januar 2015. Somit sollten alle vorhandenen
Images die ein früheres Datum tragen gelöscht werden.
Diese Ankündigung wurde von Fortinet unter folgendem Customer Support Bulletin herausgegeben CSB-150109:
Datei:CSB-150109-1 FG-80C failes to load.pdf
FortiAnalyzer Limited Support for Remote SQL Database?
Ab der FortiAnalyzer Versionen 5.0.7 und 5.2.0, werden Remote SQL Datenbank nur dahingehend unterstützt, dass "ausschliesslich" die Log Informationen in die SQL Datenbank geschrieben werden. Dies bedeutet: Funktionen wie "Historische Log Suche" und "Reporting Möglichkeiten" werden ab den genannten Versionen nicht mehr unterstützt.
Affected Products:
Alle FortiAnalyzer Versionen inkl. Devices ab der Version 5.0.7 sowie 5.2 die eine "Remote SQL Datenbank" benutzen.
Resolution:
Es wird empfohlen die "Locakle Datenbank" eines FortiAnalyzer's zu benutzen.
Diese Ankündigung wurde von Fortinet unter folgendem Customer Support Bulletin herausgegeben CSB-150204-1:
Datei:CSB-150204-1-FAZ-Remote-SQL.pdf
FortiGate Axcen SFP (SX) Transceiver may fail to bring link up?
Für alle erwähnten FortiGate Modelle "D" die einen Axcen SFP (SX) Transceiver benutzen mit der Part Nummer "AXGE-5854-0511" besteht ein Problem, dass der physische Link nicht aktiviert wird (link up).
Affected Products:
FortiGate Modelle FG300D, FG500D, FG1000D, FG1200D, FG1500D
Resolution:
In einigen Fällen kann der "link up" Status erfolgreich etabliert werden wenn die "speed" Einstellungen des Interface
auf einen festen Wert gesetzt wird dh. 100 Full-Duplex oder 1000 Full-Duplex. In so einer Konstellation sollte darauf
geachtet werden, dass der Switch ebenfalls auf diese festen Werte konfiguriert wird. Wenn dies nicht erfolgreich
konfiguriert/durchgeführt werden kann so wird der SFP Transceiver über den RMA Prozess ausgetauscht.
Diese Ankündigung wurde von Fortinet unter folgendem Customer Support Bulletin herausgegeben CSB-150320-1:
Datei:CSB-150320-1 Axcen SFP txer.pdf
All FortiGate Modesl Firewall Service Protocol Number Change?
In FortiOS 5.0.8 und 5.0.9 sowie 5.2.0 und 5.2.2 wurde der Standard Wert des "Firewall Service Protokoll" von 0 auf 6 geändert was wiederum da "6" TCP entspricht (0 = Alle Protokolle). Diese Aenderung spielt speziell bei einem Upgrade eine "wichtige" Rolle da sofern eine Firewall Policy implementiert wird mit dem Service "ALL" stand dieser "vor" einem Upgrade auf "Protokoll 0" was "Alle Protokollen" entpsricht und da nun durch die Aenderung der Wert auf "6" gesetzt wird ist nur noch "TCP" erlaubt. Auch ein Factory Reset löst dieses Problem nicht.
Affected Products:
All FortiGate Modelle
Resolution:
Bei FortiOS 5.0.10 und 5.2.3 wurde dieser Standard Wert wieder auf die Ursprünglichen Wert von "0" gesetzt. Wenn ein
Upgrade auf einer FortiGate - ausgehende von den betroffenen Versionen (FortiOS 5.0.8/9 FortiOS 5.2.0/2 Standard Wert
6) - auf Version 5.0.10 oder 5.2.3 (Upgrade Path einhalten) durchgeführt wird, wird der Standard Wert auf den alten
Wert "0" zurückgesetzt.
Diese Ankündigung wurde von Fortinet unter folgendem Customer Support Bulletin herausgegeben CSB-150402-1:
Datei:CSB-150402-1 Service-Protocol-Number.pdf
Some 90Ds do not finish booting (FortiOS 5.2)?
Betreffend dem Modell 90D gibt es im Zusammenhang mit FortiOS 5.2 ein Problem das verhindert, dass die 90D keinen korrekten Neustart ausführt. Nachfolgend die Details:
Affected Products:
FG-90D, FG-90D-POE, FW-90D, and FW-90D-POE
Description:
Der Systemstart wird nicht korrekt ausgeführt und auf der Konsole ist folgendes sichtbar:
1.Initializing firewall…
2.System is starting...
Resolution:
Upgrade der Firmware auf FortiOS 5.2.3. Dieses Upgrade sollte das Problem beheben. Bei weiteren Problemen ist der Customer
Support zu kontaktieren!
Diese Ankündigung wurde von Fortinet unter folgendem Customer Support Bulletin herausgegeben CSB-150508-1:
Datei:CSB-150508-1-90D-no-boot.pdf
FG-80C fails to load FortiOS image 5.0.12 or 5.2.x?
Betreffend dem Modell 80C gibt es im Zusammenhang mit FortiOS 5.0.12 sowie 5.2.x ein Problem das verhindert, dass die 80C nach einem Upgrade auf die erwähnten Versionen keinen korrekten Neustart ausführt. Nachfolgend die Details:
Affected Products:
FG-80C, FG-80CM
Description:
Der Systemstart wird nicht korrekt ausgeführt bei Bios Versionen tiefer als "4000007". Um die Bios Versionen anzuzeigen
führe folgendes aus:
# get sys status
Version: FortiWiFi-80CM v5.0,build0292,140801 (GA Patch 9)
Virus-DB: 16.00560(2012-10-19 08:31)
Extended DB: 1.00000(2012-10-17 15:46)
IPS-DB: 4.00345(2013-05-23 00:39)
IPS-ETDB: 0.00000(2001-01-01 00:00)
Serial-Number: FW80CM3900000000
Botnet DB: 1.00000(2012-05-28 22:51)
BIOS version: 04000006
Log hard disk: Not available
Resolution:
Die Software Image's für 5.0.12 betreffend Modelle FG-80C, FG-80CM, FW-80CM und FW-81CM wurden neu erstellt und tragen
die Build Nummer 150709. Für die besagten Modelle sollten ausschliesslich nur dieses Image verwendet werden. Für FortiOS
5.2.x wird ein neues Image released was geplant ist für den 21. July 2015.
Diese Ankündigung wurde von Fortinet unter folgendem Customer Support Bulletin herausgegeben CSB-150109:
Datei:CSB-150109-2 FG-80C.pdf
Partial Configuration Loss running 5.2.4 FortiGate/FortiWifi 20C, 30D, and 40C series?
FortiGate/FortiWifi Modelle 20C, 30D sowie 40C können Ihre Konfiguration bei einem Upgrade auf 5.2.4 Build Nummer 0688 (Datum 150722) betreffend IPSec Interface, Virtual Access Point Interface, Virtual Switch Interface sowie Loopback Interface verlieren. Dies geschieht speziell beim einem Neustart des Devices. Um die Version resp. Build Nummer sowie Datum zu überprüfen führe folgendes durch:
# get system stat | grep 0688
Version: FortiGate-20C v5.2.4,build0688,150722 (GA)
Affected Products:
FortiGate: FG-20C, FG-20C-ADSL, FG-30D, FG-30D-PoE, FG-40C
FortiWiFi: FW-20C, FW-20C-ADSL, FW-30D, FW-30D-PoE, FW-40C
Resolution:
Für FortiOS 5.2.4 wurden die entsprechenden Images modifiziert dh. es muss darauf geachtet werden, dass nicht
mehr die "alten" Images benützt werden. Die neuen Images tragen zwar die gleiche Build Nummer 0688 jedoch mit
einem neueren Datum dh. "150730". Dies kann mit folgenden Befehl verifiziert werden:
# get system status | grep 0688
Version: FortiWiFi-30D v5.2.4,build0688,150730 (GA)
Diese Ankündigung wurde von Fortinet unter folgendem Customer Support Bulletin herausgegeben CSB-150730-1:
Datei:CSB-150730-1-Partial-Config-Loss.pdf
FortiGate HA failover after 497 days uptime?
Wenn ein FortiGate Device im HA Modus betrieben wird, können Fehler auftreten betreffend "heartbeat" sofern die Cluster Member über eine "system uptime" verfügen von über "497" Tage. Wenn dies auftritt werden in den Logs folgenden Meldungen gezeigt:
15:54:10 0100037892 notice Virtual cluster's member state moved
15:54:08 0100037894 notice Virtual cluster detected member join
15:54:08 0100037899 notice HA device(interface) peerinfo
15:54:08 0100037899 notice HA device(interface) peerinfo
15:54:08 0100037901 critical Heartbeat device(interface) down
15:54:08 0100037901 critical Heartbeat device(interface) down
15:54:08 0100037893 notice Virtual cluster detected member dead
Die gezeigten Meldungen indizieren einen "heartbeat failure" sowie ein "recovery" in kürzester Zeit. Um die Uptime auf einem Device zu eruieren führe folgendes Kommando aus:
# get system performance status | grep Uptime
Potentially Affected Products:
Alle FortiGate's in einem HA Cluster Verbund
Potentially Affected OS:
FortiOS 4.3.16 oder Neuer, 5.0.5 oder Neuer, alle Versionen vis 5.2.4.
Workaround:
Neustart der Cluster Member
Resolution:
Diese Problem wird mit FortiOS 5.2.5 sowie 5.4.0 gelöst!
Diese Ankündigung wurde von Fortinet unter folgendem Customer Support Bulletin herausgegeben CSB-150807-1:
Datei:CSB-150807-1-FortiGate-HA-failover-497days.pdf
Probleme beim Aktivieren eines FortiTokenMobile 3.0.3 mit iOS Devices?
Bei der Aktivierung eines FortiTokenMobile 3.0.3 (build 066) auf einem iOS Device kommt es zu Problemen und eine Fehlermeldung wird angezeigt:
Resulting error: JSON Error: Invalid "mobile_id_hash"
Resolution:
FortiTokenMobile 3.0.3 wurde aus dem Apple App Store entfernt und wird ab ca. ab 1. September wieder zur Verfügung gestellt.
Im Moment wird FortiTokenMobile 3.0.4 von Apple "reviewed" und solbald dies abgeschlossen ist wird Apple FortiTokenMobile 3.0.4
wieder im App Store zur Verfügung stellen. Normalerweise dauert dieses "review" von Apple ca. 1 Woche.
Diese Ankündigung wurde von Fortinet unter folgendem Customer Support Bulletin herausgegeben CSB-150821-1:
Datei:CSB-150821-1-FTM-303-Activation Errors.pdf
Adding Support for El Capitan in FortiClient (Mac OS X)?
Der momentan verfügbare FortiClient in der Version 5.2.4 beinhaltet keine Unterstützung für das neue MacOSx "El Capitan". Wenn der FortiClient in der Version 5.2.4 dennoch installiert wird wird auf dem MacOSx "El Capitan" werden ungewollte Neustarts des System ausgeführt. Um das Problem zu lösen "muss" der FortiClient deinstalliert werden. Als Alternative kann der embedded Cisco VPN Client benutzt werden dieser benötigt jedoch in der Phase1/2 eine neue Konfiguration.
Resolution:
Die folgenden geplanten FortiClient Releases werdne das neue Betriebssytem von MacOSx unterstützen:
FortiClient 5.4.0 (Release Datum ca. 9. Oktober 2015)
FortiClient 5.2.5 (Release Datum ca. ende Oktober 2015)
Diese Ankündigung wurde von Fortinet unter folgendem Customer Support Bulletin herausgegeben CSB-150821-1:
Datei:CSB-151006-FortiClient-El-Capitan-Support.pdf
Caution in using Rogue AP Suppression for FortiGate/FortiWiFi Wireless Controller for FortiAP's?
Fortinet hat einen Support Alert lanciert der auf folgenden Umstand hinweist: Wenn das Feature "Roque AP Suppression" benutzt wird so muessen die entsprechenden Regulatorieren (FCC enforcement actions & rules.) in den jeweiligen Ländern in dem die FortiAP's eingesetzt werden berücksichtigt werden um zu gewährleisten das diese in dem jeweiligen Land erlaubt wird! Der nachfolgende Artikel gibt Auskunft über welche Funktion "Roque AP Suppression" konfiguriert werden kann". Dabei ist zu berücksichtigen: Dieser Artikel beschreibt die Funktion "Rogue AP" was jedoch nicht bedeutet - wenn diese Funktion benutzt wird - , dass auch "Roque AP Suppression" eingesetzt wird. Das heisst: "Roque AP" Funktion beninhaltet "Roque AP Suppression" ist jedoch nicht automatisch aktiviert:
FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Rogue_AP.E2.80.99s.22.3F
Diese Ankündigung wurde von Fortinet unter folgendem Customer Support Bulletin herausgegeben CSB151125:
Datei:CSB151125-Rogue-AP-Supression.pdf
FortiGate flash disk errors FortiOS 4.x/5.0/5.2?
Fortinet hat ein Support Alert lanciert der ein Umstand beschreibt der vielen jedoch bereits bekannt ist. Dies bedeutet: Es wird dringend empfohlen lokales Disk Logging zu deaktivieren. Bei kleineren Geräten wie FG-40C, FG-60x, FG-80C usw. kann das lokale Disk logging unter FortiOS 5.2 nicht mehr aktiviert werden. Für FortiOS 5.0.x kann zwar das lokale Disk logging aktiviert werden ist jedoch dringend nicht empfohlen. Die Disk's die für diese Device benutzt werden sind Flash Disk's. Diese verfügen über einen max. P/E cycles was auch als "program-erase cycles" bekannt ist. Erreicht eine Flash Disk diesen "cycles" werden Error Meldungen ausgegeben wie zB :
Im Event Log erscheint folgende Meldung:
EXT3-fs: group descriptors corrupted !
EXT3-fs error (device sd(8,3)): ext3_check_descriptors: Block bitmap for group 17
not in group (block 17334272)!
oder
The following critical firewall event was detected: Kernel error.
date=2015-10-19 time=08:49:12 devname=FortiGate devid=FGT60D3912621349 logid=0100020010 type=event subtype=system level=critical vd="root" logdesc="Kernel
error" msg="EXT3-fs error (device sd(8,3)): ext3_get_inode_loc: unable to read inode block - inode=132, block=8"
oder
EXT2-fs error (device sd(8,3)): ext2_free_blocks: Freeing blocks not in datazone - block = 4294967295, count = 1
Wenn ein solcher Device Neu gestartet wird regulär oder irregulär erscheint beim Start auf der RS-232 Console folgendes:
Initializing firewall...
System is starting...
Starting system maintenance...
Scanning /dev/mtd1... (100%)
Formatting shared data partition ... done!
EXT3-fs: error loading journal.
EXT3-fs: error loading journal.
Potentially Affected Products:
Low end FortiGate/FortiWifi models with flash storage
20C, 40C, 60C, 80C,
60D, 90D, 100D
Potentially Affected OS:
FortiOS 4.x
FortiOS 5.0
FortiOS 5.2
Wenn dies zutrifft für einen Device ist ein Workaround die Disk mit nachfolgenden Befehl zu formatieren:
# execute formatlogdisk
Dieser Workaround ist jedoch nicht eine Gewährleistung das dieser Error usw. nicht wieder auftritt. Fortinet hat diesem Umstand in FortiOS 5.2.5 Rechnung getragen. Dies bedeutet: Um diesem Umstand entgegenzutreten wurde in FortiOS 5.2.5 sowie 5.4.0 eine Implementierung hinzugefügt (welche umbekannt) der diesen Error resp. Umstand entgegenwirkt, was jedoch keine Gewährleistund ist, dass dieser Error/Umstand nicht wieder auftritt! Aus diesem Grund ist es zu empfehlen sobald 5.2.5 zur Verfügung gestellt wird durch Fortinet ein Upgrade durchzuführen auf 5.2.5. Wenn - obwohl die Disk formatiert wurde - dieser Error/Umstand wiederum auftritt ist ein Ticket bei Fortinet zu eröffnen für einen "RMA Case". In so einem Fall ist klar darauf hinzuweisen, dass die Disk bereits formatiert wurde jedoch der Errror wiederrum aufgetreten ist. Wir empfehlen "dringend" auf für FG-100D sowie FG-90D "kein" Disk Logging zu aktivieren und Remote Logging auf einem FortiAnalyzer zu benutzen damit die Disk nicht für Logging benutzt wird. Dies heisst jedoch nicht, dass die Disk für kleinere Geräte (inkl. FG-90D/100D nicht formatiert werden soll. In jedem Fall ist die Disk bei einer Installation und - obwohl Remote Logging benutzt wird - zu formatieren da ein Device die Disk nicht "nur" für das Logging benutzt. Die Funktionen die auf einer Disk benutzt werden "exkl. Logging" sind jedoch akzeptable sofern diese nicht "exessive" genutzt werden wie zB:
Device identification
DHCP and/or PPPoE
Diese Ankündigung wurde von Fortinet unter folgendem Customer Support Bulletin herausgegeben CSB-151124-1:
Datei:CSB-151124-1-FortiGate-Flash-disk-errors.pdf
FortiOS SSH Undocumented Interactive Login Vulnerability?
Es ist möglich über eine SSH Verbindung auf auf einem FortiGate Devices mit einem betroffenen FortiOS direkt Adminrechte zu erlangen. Dadurch kann eine vollständige Kontrolle des FortiGate Devices erlangt werden. Dieser "Vulnerability" war keine "backdoor vulnerability" und deshalb wurde auch kein offizieller "CV" publiziert. Der Grund dieses "Vulnerability" war eine "Management authentication issue". Der "Vulnerability" wurde durch das Fortinet "Security Team", das durch regelmässige Reviews und Testing die Produkte durchleuchtet gefunden. Eine entsprechende Korrektur wurde im Juli 2014 durch Fortinet released durch die Versionen 4.3.18 sowie 5.0.8.
Impact:
Remote Console Access mit "Administrative Access" bei aktiviertem SSH!
Affected Products::
FortiOS 4.3.0 bis 4.3.16
FortiOS 5.0.0 bis 5.0.7
NOTE Die FortiOS 5.2.x und 5.4.x sind nicht betroffen.
Refrence:
https://www.fortiguard.com/advisory/fortios-ssh-undocumented-interactive-login-vulnerability
Solutions:
Upgrade auf FortiOS 4.3.17 oder höher (available as of July 9, 2014)
Upgrade auf FortiOS 5.0.8 oder höher (available as of July 28, 2014)
Workaround:
Deakiviere den Administrationszugriff über SSH auf allen Interfaces sofern möglich. Wenn eine Deaktivierung des
Administrations Zugriff über SSH nicht möglich ist schränke die Benutzung über "Autorisierte IP Adressen" ein! Weitere
Informationen wie der SSH Remote Zugriff eingeschränkt werden kann siehe nachfolgenden Artikel:
FortiGate-5.0-5.2:FAQ#Wie_aktiviere_ich_f.C3.BCr_den_User_.22admin.22_den_Management_Zugriff_und_was_muss_ich_dabei_ber.C3.BCcksichtigen.3F
Wenn SSH komplett vorübergehend deaktiviert werden kann verwende vorübergehend für die CLI das "Console Widget" im Mgmt. Web Interface "Dashboard".
Diese Ankündigung wurde von Fortinet unter folgendem Customer Support Bulletin herausgegeben CSB-160115-1:
Datei:CSB-160115-1-ssh-interactive-login-vuln.pdf
FortiAP-Meru Vport-IOS issue?
FortiAnalyzer drops logs sent from FortiGate devices?
Unter gewissen Umständen stoppt die Uebermittlung der Logs für Devices zum FortiAnalyzer unter FortiAnalyzer 5.2.6! Dieses Problem wird ausgelöst durch folgende Faktoren:
• FortiGate Devices wurden Registriert als HA Cluster vor oder nach einem Upgrade auf FAZ 5.2.6.
• Nach einer Cluster Registrierung wurde der Slave Device nicht gelöscht.
• Der Slave Device hat einen tiefere system generierte ID (OID) im Vergleich zur Cluser OID.
Die OID kann in der CLI des FAZ folgendermassen verifziert werden:
# diag dvm device list
Wenn eine Verifizierung der OID vor einem Upgrade auf 5.2.6 durchgeführt wird und der Slave Device ist ersichtlich, kann dieser gemäss Workaround gelöscht werden. Wenn der Slave Device gelöscht wurde kann ein Upgrade auf 5.2.6 durchgeführt werden um dieses Problem zu umgehen!
Impact:
Es werden keine Logs mehr zum FortiAnalyzer der Devices Uebermittelt!
Affected Products::
FortiOS 5.2.6
Solutions:
Upgrade auf FortiAnalyzer 5.2.7
Workaround:
Um das Problem zu umgehen muss in erster Linie die OID kontrolliert werden. Zeigt der FAZ Slave eine tiefere OID sollte dieser
innerhalb des Device Managers gelöscht werden. Danach muss ein Neustart des FAZ durchgeführt werden und der Slave wird nach
dem Neustart wieder hinzugefügt!
Diese Ankündigung wurde von Fortinet unter folgendem Customer Support Bulletin herausgegeben CSB-160407-1:
Datei:CSB-160407-1-FortiAnalyzer-Drops-Logs.pdf
Last Release of Software for Specific Models (FG-3016B FG-3810A FG-5001A FK-3810A FK-5001A)?
Aus Gründen der Device Flash grössen Limitierungen werden erwähnte FortiGae Modelle nicht weiterhin für 5.2.x unterstützt resp. FortiOS Images zur Verfügung gestellt. Es muss dabei erwähnt werden das diese erwähnten Modelle sich bereits im End-of-Life Cycle befinden! Das letzte zur Verfügung stehende FortiOS Image für diese erwähnten FortiGate Devices ist die Version 5.2.5:
Affected Products::
FortiGate FG-3016B
FortiGate FG-3810A
FortiGate FG-5001A SW & DW
FortiCarrier FK-3810A
FortiCarrier FK-5001A SW & DW
Additional Information:
Fortinet wird bei Security Vulnerabilities oder Critical Software Issues vor Ende
des End-of-Life Cycle für diese erwähnten FortiGate Devices entsprechende Patch
Releases zur Verfügung stellen!
Diese Ankündigung wurde von Fortinet unter folgendem Customer Support Bulletin herausgegeben CSB-160222-1:
Datei:CSB-160222-1-Last-SW-Release.pdf
FortiManager Potential Memory Leak?
Bei einer FortiManager Installation unter 5.2.6 existiert unter gewissen Umständen ein "memory leak". Dieser "memory leak" äussert sich in dem es zu Fehlermeldungen kommt, wenn ein grösseres Policy Package installiert wird. Ob ein Policy Package erfolgreich installiert werden kann, hängt vom zur Verfügung stehenden System Memory ab sowie der Komplexität des Policy Packages.
Impact:
Komplexe Policy löst bei einer Installation ein "memory leak" aus!
Affected Products::
FortiManager 5.2.6
Solutions:
Upgrade auf FortiManager 5.2.7
Workaround:
Wenn ein Policy Package zu mehreren Devices für eine Installation hinzugefügt wurde, sollte die Anzahl der Devices die
dieses Policy Package benutzen reduziert werden!
Diese Ankündigung wurde von Fortinet unter folgendem Customer Support Bulletin herausgegeben CSB-160222-1:
Datei:CSB-160405-1-FortiManager-Memory-Leak.pdf
Cookie Parser Buffer Overflow Vulnerability
FortiGate Firmware welche vor dem August 2012 veröffentlicht wurden weisen eine cookie parser Buffer Überlastung Sicherheistlücke auf.
Durch diese Sicherheitslücke ist es möglich mit einem manipuliertem http Request die Kontrolle des Gerätes zu übernehmen.
Betroffen sind Firmware Versionen welche tiefer als die Version 4.x sind. FortiOS Versionen 5.x sind NICHT betroffen.
Alle weiteren Fortinet Produkte werden auch auf diese Sicherheitslücke untersucht. (Stand 18.08.2016)
Impact:
Remote administrative access
Affected Products:
- FortiOS 4.3.8 und tiefer
- FortiOS 4.2.12 und tiefer
- FortiOS 4.1.10 und tiefer
Solutions:
- Upgrade auf FortiOS 5.x oder höher
- Upgrade auf 4.3.9 oder höher auf Modelle welche nicht kompatibel mit FortiOS 5.x sind.
Risk
FortiGuard Stuft die Sicherheitslücke mit Level 4 (High) ein
Weitere Inforamtionen auf https://fortiguard.com/advisory/FG-IR-16-023
Purchased FAZ-VM Licensing Shows Expiry Date
Unter gewissen Umständen zeigt eine korrekt beschaffte FortiAnalyzer Lizenz ein "expiration date" dh. unter normalen Umständen läuft eine FortiAnalyzer Lizenz nie aus und darf über kein "expiration date" verfügen.
Affected Products:
FortiAnalyzer FAZ-VM
Um festzustellen ob die Lizenz eines FortiAnalyzer betreffend diesem Umstand betroffen ist führe auf CLI folgendes Kommando aus:
# diagnose debug vminfo
Wenn die FortiAnalyzer Lizenz von diesem Umstand betroffen ist wird folgendes angezeigt:
# diagnose debug vminfo
Valid License Type
Expired in : 84 days 17 hours 37 minutes
Table size:
Licensed Storage: 49652GB
Licensed GB/Day: 201
Wenn die FortiAnalyzer Lizenz nicht betroffen ist von diesem Umstand wird folgendes angzeigt:
# diagnose debug vminfo
Valid License Type
Table size:
Licensed Storage: 8392GB
Licensed GB/Day: 26
Solutions:
Wenn die FortiAnalyzer Lizenz mit einem "expiration date" angezeigt wird muss zur Lösung die Lizenz abermals über den
entsprechenden Support Account runtergeladen werden um das "expiration date" zu entfernen. Nachdem die Lizenz abermals
runtergeladen wurde muss die FortiAnalyzer Lizenz wiederum auf dem FortiAnalyzer eingespielt werden. Durch die Einspielung
der Lizenz wird ein Neustart ausgeführt. Danach kann wiederum eine Kontrolle auf dem FortiAnalyzer über CLI durchgführt
werden und es darf dabei kein "expiration date" unter "Valid License Type" angezeigt werden:
# diagnose debug vminfo
Valid License Type
Table size:
Licensed Storage: 8392GB
Licensed GB/Day: 26
Diese Ankündigung wurde von Fortinet unter Customer Support Bulletin CSB-160908-1herausgegeben!
FortiManager and FortiAnalyzer Managed Device Licensing
Basierend auf FortiManager und/oder FortiAnalyzer 5.2.8 wird die Kalkulation des Device Counts dh. die Kalkulation der Anzahl Devices nicht korrekt durchgeführt. Dadurch wird unter Umständen verhindert das neue Device hinzugefügt werden können. Aus diesem Grund wurde der Release 5.2.8 des FortiAnalyzers sowie FortiManagers zurückgezogen.
Affected Products:
FortiManager 5.2.8 (build 777)
FortiAnalyzer 5.2.8 (build 777)
Solution:
Der FortiManager 5.2.9 (build 779) and FortiAnalyzer 5.2.9 (build 779) sind für einen neuen
Release geplant für den 21. September 2016!
Upgrading FortiSandbox to 2.3.1 build 0194 may result in configuration loss
Es kann vorkommen, dass die Konfiguration verloren geht, wenn man die FortiSandbox auf das FortiOS 2.3.1 (Build 0194) upgradet.
Affected Products:
FortiSandbox OS 2.3.1
Solution:
Das FortiSandbox 2.3.1 wurde von der Fortinet Supportwebseite entfernt.
Die Kunden werden aufgefordert, auf den Upgrade für FortiSandbox 2.3.2 vom 4.November zu warten.
Alle Kunden die bereits einen Upgrade auf 2.3.1 ausgeführt haben, sollen sich an den technischen
Support wenden.
Diese Ankündigung wurde von Fortinet unter Customer Support Bulletin CSB-161031-1 herausgegeben!
FortiGate FortiOS URL List Exempt Entries & Certificate Inspection in 5.4.2
In FortiOS 5.4.2 kann ein URL Filter innerhalb WebFilter mit der "action" "exempt" konfiguriert werden. Diese Konfiguration bedeutet Folgendes: Durch "exempt" wird für die konfigurierte Seite zB "*.apple.com" keine UTM Features durchgeführt wie zB AntiVirus. Wird in diesem Zusammenhang der WebFilter benutzt mit der SSL-Inspection Certificate Inspection kommt es zu Problemen dh. der Traffic wird für diese konfigurierten Seiten im URL Filter durch "exempt" geblockt. WebFilter im Zusammenhang mit Flow-Inspection oder Deep-Inspection sind nicht betroffen.
Affected Products:
FortiGate FortiOS 5.4.2
Workaround:
Fortinet stellt über einen Support Case Anfrage betreffend diesem Problem einen speziellen Build zur Verfügung.
Dieser spezielle Build ist jedoch nur über ein Technical Support Ticket erhältlich. Damit das Technical Support
Ticket so schnell als möglich verarbeitet wird empfehlen wir beim Erstellen des Ticket P3 zu wählen und auf den
Bug zu vewweisen:
Customer Support Bulletin CSB-161108-1
Workaround
Wenn dieser spezielle Build keine Option darstellt kann folgender Workaround durchgeführt werden:
Alle URL Filter Einträge die mit Wildcard konfiguriert wurden dh. zB "*.apple.com" müssen unter "action" auf
"monitor" gesetzt werden da "monitor" den Wildcard erlaubt und ein Log Eintrag erstellt. Möchte man kein Log
Eintrag erstellen wenn die Seite basierend auf dem Wildcard aufgerufen wird muss "allow" gewählt werden. Durch
diese Konfiguration werden jedoch diese konfigurierten Seiten zB "*.apple.com" nicht mehr von den UTM Features
ausgeschlossen.
Solution:
Der Bug wird im FortiOS 5.4.3 behoben!
Diese Ankündigung wurde von Fortinet unter Customer Support Bulletin CSB-161108-1 herausgegeben!
FortiGate 2016 December 31st Leap Second
Affected Products:
Product: All products with an NTP client
Am 31.Dezember 2016 wird die letzte Minute im Jahr 61 Sekunden dauern. Diese Massnahme wird wegen der Erdumdrehung initziert (Infos auch unter https://de.wikipedia.org/wiki/Schaltsekunde) . Alle NTP-Server müssen diese Schaltsekunde weiter leiten. Dies geschieht indem die NTP Server eine Leap Indicator(LI) Warnung an die Clients senden. Der NTP-Client ist für die Änderung seiner Uhr zuständig. Ein NTP Server kann die LI-Warnung weiterleiten oder ignorieren. Die folgenden Tabellen gibt es eine Zusammenfassung welche Fortinet Produkte über einen NTP-Server verfügen und welche eine LI-Weiterleitungs Funktion verfügen:
Product Leap Indicator Capitablity
-----------------------------------------------
FortiGate Forward
Alle anderen Fortinet Produkte haben keine NTP Server implementation. Die folgende TAbelle gibt eine Übersicht, welche Fortinet Produkte einen NTP-Client besitzen und wie sein verhalten des LI-Nachrichten empfang gehandelt wird:
Product SW Version Impact and Mitigation
------------------------------------------------------------
FortiGate 4.3 and later
FortiManager 4.0 and later
FortiAnalyzer 4.3.8 and later Leap indicator wird ignoriert. Die Systemzeit kann bis zur nächsten NTP-Synchronisation
eine Sekunde vor der UTC Zeit sein. Dies wäre in einer Zeitspanne von maximal einer Stunde
der Fall.
FortiWeb all
FortiMail all
Forti AP all Hat keinen NTP Client. Die Zeit wird vom wireless Controller übergeben
FortiAuthenticator all Leap indicator wird ignoriert. Die Systemzeit kann bis zur nächsten NTP-Synchronisation
eine Sekunde vor der UTC Zeit sein. Dies wäre in einer Zeitspanne von maximal zwei Munuten
der Fall.
Solution:
Es sind keine störende Systemauswirkungen bekannt bei den oben aufgeführten Fortinetprodukten und dessen Software Versionen.
Es konnte eine 1 Sekunden Taktdrift bei den Produkten beobachtetn werden, welche die LI Nachricht ignorierte.
Diese Ankündigung wurde von Fortinet unter Customer Support Bulletin CSB-161130-1 herausgegeben!
Fortinet FWLC configuration loss after upgrading
Bei den Wireless Controllerlösungen von Fortinet kann es vorkommen, dass die Konfiguration nach einem Upgrade auf die Version SD 8.1-3-2 verloren geht. Ausgelöst wird dies, wenn spezielle Sonderzeichen in der Konfiguration von PSK, Radius Schared Secret oder Local Guest Credentials enthalten sind. Als Sonderzeichen zählen zum Beispiel:
() &;: @ #
Affected Products:
FortiWLC 50D,FortiWLC 200D, FortiWLC 500D, MC6000, MC4200 (with or without 10G Module), MC4200-VE, MC3200, MC3200-VE, MC1550 und MC1550-VE
Affected OS
SD 8.1-3-2
Workaround:
Wenn ein Upgrade auf SD 8.1-3-2 durchgeführt werden soll, müssen alle Sonderzeichen aus der Konfigurationsdatei entfernt werden.
Das bedeutet, die Konfigurationsdatei muss vor dem Update editiert werden und allfällige Sonderzeichen entfernt werden.
Die Datei speichern und erst dann upgraden.
Remedy:
Im Maintenance Release 8,1 MR welches voraussichtlich im Q2 2017 veröffentlicht wird, soll dieses Problem behoben werden.
Die Versionen 8.3 und 8.2 sind von diesem Ipmact nicht betroffen.
Diese Ankündigung wurde von Fortinet unter Customer Support Bulletin CSB-170127-1 herausgegeben!
FortiSandbox 3000E Port 5 and 6 Swapped
Bei FortiSandbox 3000E Geräte, welche eine Serienummer im folgenden Bereich haben, sind die Port 5 und Port 6 vertauscht. Die Anschlüsse auf der Rückseite des Gerätes lesen sich von links nach rechts mit 6 und 5 anstatt 5 und 6.
Potentially Affected Products:
FortiSandbox 3000E mit Serienummern in den folgenden Bereichen:
FSA3KE3R16000039 und kleiner
FSA3KE3R17000014 und kleiner
Potentially Affected OS:
v2.3.2 eingeführt. Das Betriebssystem ist in diesem Sinne nicht betroffen, da es sich um ein Port-Label Problem handelt.
Diese Ankündigung wurde von Fortinet unter Customer Support Bulletin CSB-170201-1 herausgegeben!
FortiGate 1500D Generation 1 Model SSD Sleep mode
In den FortiGate 1500D Generation 1 Modellen hat es in der SSD-Controller Firmware ein potentielles Problem, welches den Effekt hat, dass die SSD nach dem Einschalten des Sleep Modus nicht mehr verfügbar sind. Ist dies der Fall wird folgende Meldung auf der Konsole (CLI) ausgegeben:
EXT3-fs error (device sd(8,17)): ext3_readdir
Dieses Phänomen tritt hauptsächlich bei FortiGate 1500D welche in einer Cluster Konfiguration sind. Dies weil das Slave oder Backup Gerät längere Zeit wenig oder gar keine SSD Aktivität aufweist und dadurch in den Sleep Modus geht.
Potentially Affected Products:
FortiGate-1500D Gen 1 - Part number P12917-04 & 05
Affected OS:
All FortiOS versions.
Workaround:
Um die SSD wieder zu aktivieren ist ein Hardware reboot notwendig.
Resolution:
Es ist ein Software Update verfügbar, welches verhindert, dass dieses Problem auftritt.
Das Update kann über den technischen Support von Fortinet bezogen werden.
Das Update wird auch im GA Patch FortiOS 5.4.4 (voraussichtlich im Februar 2017) und Patch 5.2.11 (Q3 2017) enthalten sein.
Wie überprüfe ich die Generation der Firewall? Leider ist es nicht möglich die Generation selber herauszufinden. Um ganz sicher zu gehen, muss bei Fortinet ein technisches Ticket eröffnet werden. Damit es effizient vorwärts das Ticket auf P3 eröffnen und geht folgende Daten von den potentiell betroffenen Firewalls mitgeben:
# get status system
Diese Ankündigung wurde von Fortinet unter Customer Support Bulletin CSB-170130-1 herausgegeben!
FortiGate 9xE and FortiHypervisor Clock Signal Degrades Over Time
Es existieren FortiGate Geräte, bei welchem sich über die Zeit das Taktsignal verschlechtert. Dies kann zu Fehlern beim Systemstart oder zu Betriebsfehlern führen. Bei Geräten welche diese Fehlerhafte Komponente verwenden wird, wird die Möglichkeit erhöht, dass nach zirka 3 Jahren diese ersetzt werden müssen.
Possibly Affected Products:
- FortiGate 90E : P19061-03
- FortiGate 91E : P19071-03
- FortiHypervisor : P19079-03
Geräte mit der oben aufgeführten part Number und rework label EX4893-xx sind nicht betroffen.
Die Partnummer und das work Label kann folgendermassen herausgefunden werden:
1. Die Partnummer kann über die CLI mit dem Kommando "get sys status" ausgelesen werden:
FGT90E4Q16000020 # get sys status
Version: FortiGate-90E v5.4.1,build5461,160627 (GA)
--- abbreviated---
System Part-Number: P19061-03
2. Auf der Unterseite des Gerätes befindet sich neben dem grossen Fortinet Produkteaufkleber (Modell, Serienummer usw),
eine zweite Etikette welche die Rework Number (EX4893-xx) enthält.
Remedy:
Es ist nicht notwendig, die Geräte sofort zu Ersetzen. Fortinet steht aber zu seinen Verpflichtungen und ersetzt
betroffene Geräte wen dies nötig ist. Der Kunde wird von Fortinet unterstützt bei Fragen oder wen es impact auf den Betrieb gibt.
Es wird mit dem Kunden zusammen die bestmögliche Lösung erarbeitet.
Diese Ankündigung wurde von Fortinet unter Customer Support Bulletin CSB-170207-1 herausgegeben!
LTE MODEM interfaces may fail to come up on FortiGate E Series Models
Wenn ein LTE Modem unter FortiOS 5.4.4 auf den E Serie Modellen über USB Schnittstelle angeschlossen ist, wird diese nicht gestartet.
Potentially Affected Products:
FortiGate / FortiWiFi:
FGT-60E, FGT-61E, FWF-60E, FWF-61E, FGT-80E, FGT-80E-POE, FGT-81E, FGT-81E-POE, FGT-100E, FGT-101E, FGT-100EF
Affected OS:
FortiOS 5.4.4
Um zu überprüfen ob die Installation von diesem Issue betroffen ist, kann folgendes über Kommandozeile ausgeführt werden:
# get sys status
Version: FortiGate-61E v5.4.4,build6003,170207 (GA)
FGT61E4Q16001181 # diag sys lte-modem info
LTE Modem configuration enabled!
LTE Modem device initialized.
Manufacturer: Novatel Wireless Incorporated
Model: Ovation MC679 Card
MEID: 012798005296558
USB Modem Interface: down
Workaround:
Das Issue wurde gelöst anhand eines special Release das über den Fortinet Technical Support erhältlich ist.
Ist man von diesem Issue betroffen und man möchte diesen special Release installieren muss man um diesen
special Release zu erhalten ein Fortinet Technical Support Ticket eröffnen.
Nachdem der special Release eingespielt wurde, kann wiederum eine Ueberprüfung über Kommandozeile durchgeführt werden:
# get sys status
Version: FortiGate-61E v5.4.4,build6046,170217 (GA)
# diag sys lte-modem info
LTE Modem configuration enabled!
LTE Modem device initialized.
Manufacturer: Novatel Wireless Incorporated
Model: Ovation MC679 Card
MEID: 012798005296558
USB Modem Interface: up
Diese Ankündigung wurde von Fortinet unter Customer Support Bulletin CSB-170222-1 herausgegeben!
SSL-VPN Standalone Client Support
Fortinet unterstützt den Microsoft Windows SSL-VPN Standalone Client nicht mehr länger. Die Linux Version wird weiterhin auf dem Fortinet Development Network zum Download zu Verfügung gestellt.
(https://fndn.fortinet.com).
Betroffene Produkte:
SSL-VPN standalone client for Microsoft Windows.
Betroffene OS-Versionen:
Alle SSL-VPN Standalone Client Versionen.
Die letzte Unterstütze Version:
• SSL-VPN standalone client v4.3 B2333 supported by FortiOS 5.2.11 und 5.4.4
Lösung:
FortiClient herunterladen und mit der VPN Komponente installieren. Die Verbindung kann dann mit SSL-VPN aufgebaut werden:
Diese Ankündigung wurde am 23.06.2017 von Fortinet unter Customer Support Bulletin CSB-170616-1 herausgegeben!
FWLC 8.3.2 code will be released for WLC-VM & WLM only
Die aktuelle Software-Version für die Fortinet Wireless Controller Solution ist 8.3.2. Fortinet wird diese Version nur für WLC-VM und WLM-Plattformen freigeben. Das heisst WLC 8.3.2 wird nur für virtuelle Maschinen (VMs) verfügbar sein und steht für Hardware Geräte nicht zur Verfügung.
Folgende WLC-VM Versionen werden Unterstützt:
• FWC-VM-50
• FWC-VM-200
• FWC-VM-500
• FWC-VM-1000
• FWC-VM-3000
Die nächste WLC Software Version welche VMs und Hardware Geräte Unterstützt wird die 8.3.3 sein.
Die WLM Version 8.3.2 ist für Hardware Geräte und VMs verfügbar.
Details und Bekannte Einschränkungen können aus den Release Notes entnommen werden:
• Datei:FortiWLC-ReleaseNotes-8.3-2.pdf
• Datei:FortiWLM-ReleaseNotes-8.3-2.pdf
Betroffenes OS:
• SD 8.3.2
Diese Ankündigung wurde am 29.06.2017 von Fortinet unter Customer Support Bulletin CSB-170626-1 herausgegeben!
FortiWLC-SD RADIUS EAP-TLS failing in 8.3-1GA
Wireless Clients mit einem Fragmentierten EAP-TLS Zertifikat wird nicht erlaubt, auf den Kontroller zu verbinden, wen auf dem Kontroller die Version 8.3-1 GA benutzt wird.
Dieses Problem tritt auf wenn die Clients oder APs fragmentierte Zertifikate mit EAP TLS benutzen.
Potentiell betroffene Systeme:
• FortiWLC-SD (All MC "ex-Meru" Controller and FortiController WLC)
Potentiell betroffenes OS:
• FortiWLC-SD 8.3-1GA
Lösung:
Ein Patch ist verfügbar um diesen Umstand zu beheben. Um den Patch zu erhalten kann man sich an den technischen Support von Fortinet wenden.
Die Störung wird im Release 8.3-3 vom FortiWLC-SD behoben.
• Patchname : forti-8.3-1GAbuild-1-patch-BUG_0438540_8.3-1GA-1-generic-rpm
Diese Ankündigung wurde am 14.07.2017 von Fortinet unter Customer Support Bulletin CSB-170711-1 herausgegeben!
DoS-Schwachstelle und XSS-Schwachstelle im FortiOS
Durch zwei Schwachstellen im FortiOS ist es möglich, dass ein nicht authentisierter Angreifer eine Denial-of-Service (DoS) Angriff oder ein Reflected-Cross-Site-Scripting (XSS) Angriff durchführen kann.
FortiOS DoS on webUI through 'params' JSON parameter
Beschreibung:
Ein authentifizierter Benutzer kann über speziell generierten Payload zum ‘params’ Parameter
über die JSON WEB API (URLs mit /json) übergeben. Dies kann dazu führen, das dass Webinterface
vorübergehend nicht mehr reagiert.
Impact:
Denial of Service (DoS)
Betroffene FortiOS:
• FortiOS 5.4.0 bis 5.4.5
Lösung:
Upgraden auf FortiOS 5.4.6 oder höher
Referenz:
• CVE-2017-14182 -> https://fortiguard.com/psirt/FG-IR-17-206
Risiko Einschätzung:
Stufe 4 - Hoch
FortiOS Web GUI logindisclaimer redir parameter XSS vulnerability
Beschreibung:
Es ist eine Schwachstelle im XSS beim das Web GUI "Login Disclaimer" im Redir-Parameter
Aufgetreten. Potentiell ist es möglich, von einem externen, nicht authentifizierten Angreifer
dem Opfer eine URL zu senden, wenn sich das Opfer in einer offene Web-GUI Sitzung befindet.
Dieser kann mit einer manipulierten URL ermöglichen, das im Security Context des Browsers beliebige
JavaScript Codes ausgeführt werden können.
Impact:
Cross-site scripting (XSS)
Betroffene FortiOS:
• FortiOS 5.4.0 bis 5.4.5
• FortiOS 5.6.0
Lösung:
• Branch 5.4 upgraden auf 5.4.6 oder höher
• Branch 5.6 upgraden auf 5.6.1 oder höher
Referenz:
• CVE-2017-7733 -> https://fortiguard.com/psirt/FG-IR-17-113
Risiko Einschätzung:
Stufe 4 - Hoch
Weitere Infos können unter folgenden Links erfahren werden:
FortiClient 5.6.1 Installation Package Failure
Beschreibung:
Beim Erstellen eines FortiClient 5.6.1-Installationspakets, welches vom Enterprise Management Server (EMS) erstellt wurde, tritt ein Fehler im erstellten Paket auf. Das Problem tritt auf, wenn der EMS den FortiClient 5.6.1 aus dem FortiGuard-Netzwerk herunterlädt. Falls der Fehler auftritt zeigt EMS folgende Fehlermeldung:
"The installer has encountered an unexpected error installing this package.
This may indicate a problem with this package. The error code is 2711.”
Betroffene Produkte:
Remedy:
FortiClient 5.6.2 wird dieses Problem beheben. Der FortiClient 5.6.2 wurde am 13. November 2017 veröffentlicht.
Diese Ankündigung wurde von Fortinet unter Customer Support Bulletin CSB-171110-1 herausgegeben!
|
FortiWebManager 5.8.0 improperly handles admin login access
Der FortiWebManager Version 5.8.0 hat eine Schwachstelle, welche es einem Angreifer von Remote aus erlaubt, sich durch Eingabe von beliebigen Zeichen im Passwortfeld Admin Rechte zu erlangen. Grund ist eine unzureichende Passwortüberprüfung. Diese Sicherheitslücke ist nur auf dem FortiWebManager Version 5.8.0 vorhanden.
Impact:
• Falsche Zugriffskontrolle
Betroffene Systeme:
• FortiWebManager 5.8.0
Lösung:
Wer den FortiWebManager auf der Version 5.8.0 betreibt, muss auf die Version 5.8.1 upgraden
|
|
CAPWAP Offloading schlägt fehl, wenn die DTLS-Verschlüsselung auf Clear Text gesetzt ist.
Beschreibung:
Die CAPWAP-Auslagerung schlägt fehl, wenn die DTLS-Verschlüsselung auf Klartext eingestellt ist. Dies tritt nur dann auf, wenn sich ein Router zwischen dem Fortinet AP und der FortiGate befindet. Es gibt keine Probleme, wenn kein Router zwischen dem Fortinet AP und der FortiGate Einheit existiert.
Betroffene Systeme:
• Alle FortiGate-Modelle, welche eine Wireless-Controller Funktionalität unterstützen
• Alle FortiAP Modelle.
Betroffenes Betriebssystem:
• FortiOS 5.6.3
Workaround:
Option 1:
Deaktiviere das CAPWAP Offloading auf der FortiGate.
# config system npu
# set capwap-offload deaktivieren
# end
Option 2:
Verschieben auf die Bridged Data Ebene.
Dieser Workaround erzwingt den drahtlosen Datenverkehr über den lokalen Switch und umgeht die FortiGate-Einheit.
Diese Ankündigung wurde am 21.02.2018 von Fortinet unter Customer Support-Bulletin CSB-180220-1 herausgegeben!
|
|
AP832/822 upgrade failure
Das Ziel dieses Dokuments ist es, das Bewusstsein für ein bekannte Probleme in Erinerung zu rufen das wen Meru Legacy Access Points Model AP832 oder AP 822 von derVersion 8.3-3 auf eine höhere Firmware upzugraden auftritt. Das Upgrade würde zu einer Image-Korruption (runtime1) führen. Dies ist auf ein Ressourcenleck in der Version 8.3-3 des Codes zurückzuführen, das in späteren Builds behoben wird.
Betroffene Produkte:
• Meru Legacy Access Point Modelle AP832 und AP822
Betroffenes Betriebssystem:
• System Director 8.3-3
Lösung:
Folgende Upgrade Prozedur muss angewendet werden, um diese Einschränkung zu beseitigen:
NOTE Diese Vorgehensweise gilt nur, wenn Ihr System auf SD 8.3-3 GA ohne KRACK Vulnerability Combined Patch installiert ist.
Wenn der KRACK-Patch bereits installiert ist, muss diese Massnahme nicht durchgeführt werden.
Mehr über KRACK:
https://fortiguard.com/psirt/FG-IR-17-196
- Schritt 1 Überprüfen ob die APs den KRACK Patch installiert haben:
Um dies zu übeprüfen muss auf dem Kontroller der folgender Befehl in der CLI ausgeführt werden:
# show ap [ID]
# show ap 1
# Access Points
# AP ID : 1
# AP-Name: AP-1
# MAC-Adresse: 00:0c:e6:11:27:6f
# Runtime Image Version : 8.3-3GAbuild-0-BUG44686894-1
Wenn die Runtime Image Version übereinstimmt, muss der Schritt 2 nicht durchgeführt werden.
- Schritt 2 Upgrade auf Version 8.4 oder höher mit folgenden Empfehlungen:
Als erstes sicherstellen, dass die APs eine Betriebszeit von weniger als 5 Stunden haben. Wenn die Betriebszeit höher ist die APs neu starten.
Es empfiehlt sich ein Backup der laufenden Konfiguration durchführen vor dem Update durchzuführen.
Upgraden der Systeme, dabei immer die Release Notes konsultieren.
Sonderfälle:
Wenn ein 64-Bit-Controller (Hardware-Modelle 3000D, 1000D. Virtual 50D, 200D, 500D, 500D, 3000D und 1000D) im Tunnel-Modus betrieben wird, ist ein AP-Neustart vor dem Upgrade nicht erforderlich. Wenn der Controller im Bridge-Modus ist, muss vor dem Upgrade ein Neustart durchgeführt werden.
Wenn mehr als 150 APs im Betrieb sind, ist es empfehlenswert, die Auto-AP-Upgrade Funktion auszuschalten. Aktualisiere die APs in Stapeln wie in den Release Notes beschrieben ist.
Diese Ankündigung wurde am 15.03.2018 von Fortinet unter Customer Support-Bulletin CSB-180312-1 herausgegeben!
|
|
Access Points not adding VLAN tags to some packets
Es gibt ein bekanntes Problem bei welchem die Access Points keine VLAN-Tags zu einigen Paketen hinzufügen welche gegen das Ethernet Netzwerk fliesst. Dies kann auftreten, wenn in der ESS-Profilkonfiguration der Modus "Data plane" als "Bridged" gewählt ist und VLAN als statisch konfiguriert ist (Configured VLAN only).
Betroffene Produkte
Alle Access Points der Serie:
- FAP-U42x
- FAP-U 32x
- AP832
- AP822
welche mit einem Fortinet Controller Wireless (FWLC) verbunden sind.
Betroffenes Betriebssystem:
Lösung:
Der Patch ist nur auf SD 8.4 verfügbar. Kunden welche mit SD 8.3-3 arbeiten, müssen vor der Installation des Patches auf SD 8.4 aktualisieren. Der Patch kann über ein Technical Support Ticket angefordert werden:
http://www.fortinet.com/support/contact_support.html
Wenn man auf der Version 8.3-3 bleiben möchten, kann mit dem folgende temporäre Workaround gearbeitet werden:
Auf den Controller über SSH in die CLI verbinden
Konfiguration über CLI
|
# conn ap [AP-ID]
# conn ap 2
# ap2> sys perf off
# ap2> exit
|
Dieser Patch-Fix wird Teil des nächsten Maintenance-Release SD 8.4.1 sein.
Diese Ankündigung wurde am 28.03.2018 von Fortinet unter Customer Support-Bulletin CSB-180326-1 herausgegeben!
|
|
FortiAnalyzer 200F wird mit unformatierter Disk ausgeliefert
Einige FortiAnalyzer 200F-Geräte wurden möglicherweise mit einer noch nicht formatierten Festplatte ausgeliefert.
Während des Bootvorgangs kann der FortiAnalyzer mit einer unformatierten Festplatte die Zeile anzeigen:
/var not mounted
Nach dem Booten wird zwar die Festplatte als verfügbar angezeigt, wenn diag sys disk info ausgeführt wird, aber der gesamte verfügbare Speicherplatz, der durch get system status angezeigt wird, ist deutlich geringer als erwartet.
Konfiguration über CLI
|
FAZ200F # get system status
...
Disk Usage : Free 1.26GB, Total 1.89GB
|
Betroffene Produkte
Lösung:
Formatieren der Disk auf dem FortiAnalyzer. Dies kann über die CLI folgendermassen durchgeführt werden:
Konfiguration über CLI
|
execute format disk
FAZ200F # execute format disk
This operation will format hard disk to ext4 filesystem.
Do you want to continue? (y/n)y
|
Überprüfe nach dem Neustart den gesamten Speicher, um festzustellen, ob dieser sich erhöht hat.
|
FAZ200F # get system status
...
Disk Usage : Free 3664.83GB, Total 3667.43GB
|
Dieser Patch-Fix wird Teil des nächsten Maintenance-Release SD 8.4.1 sein.
Diese Ankündigung wurde am 14.06.2018 von Fortinet unter Customer Support-Bulletin CSB-180612-1 herausgegeben!
|
|
FortiManager Benutzung des DeviceManager und mehreren VDOMs Policies Re-Installation
Problembeschreibung:
Der Devicemanager auf einem FortiManager mit dem OS 6.2.2, kann einige der FortiGate-VDOM-Konfigurationen, inklusive Routen, Firewallregeln und Firewallobjekte, fälschlicherweise bereinigen, wenn die Funktion "Re-Install Policy" verwendet wird, um Konfigurationsänderungen auf ein FortiGate mit mehreren VDOMs zu übertragen.
Betroffene Produkte
- FortiManager mit OS 6.2.2
Workaround:
Verwenden Sie die Funktion "Richtlinie zur Neuinstallation" nur für einen einzigen VDOM, nicht für mehrere VDOMs. Die Verwendung des "Installationsassistenten" hat keinen Einfluss auf eine Installation für ein einzelnes VDOM- oder mehrere VDOM-Szenarien.
Benutze das Features Re-install Policy nur für eine einzelne VDOM und nicht für über mehrere VDOMs. Das Benutzten des Install Wizard hat keinen Einfluss auf die Installation für einzelne VDOM oder mehrere VDOM Szenarien.
Lösung:
Das Problem soll im FortiManager 6.2.3 Patch behoben.
Diese Ankündigung wurde am 15.10.2019 von Fortinet unter Customer Support-Bulletin CSB-191015-1 herausgegeben!
https://support.fortinet.com/Information/Bulletin.aspx
|
|
FortiOS 6.2.4 - DoS Policy blocken Pakette - CSB-200529-1
Problembeschreibung:
Nach dem Upgrade auf das FortiOS 6.2.4 können DoS Policies, welche auf Interfaces konfiguriert sind den Datentraffic droppen, welche als Ziel die FortiGate selbst haben. (Beispiel VIPs oder VPNs welche auf die FortiGate terminieren)
Dies kann auftreten wenn die DoS Policy auf drop oder monitor konfiguriert ist.
Potentiell betroffene Produkte
Workaround:
- DoS Policy auf den Interfaces deaktivieren.
Wie konfiguriere ich eine DoS Regel auf der FortiGate?
|
ACHTUNG!!!
Diese Aktion wird den Schutz für die FortiGate verringern und soll deshalb nur als Workaround benutzt werden, bis ein entsprechender Bug-Fix verfügbar ist!
|
Lösung:
- Das Problem wird im FortiOS 6.2.5 behoben. (Veröffentlichung noch nicht bekannt)
- Es besteht ein Build Hot Fix welcher über den technischen Support von Fortinet eingefordert werden kann. Hierfür ist ein L1 Ticket über das Support-Portal zu eröffnen.
Diese Ankündigung wurde am 29.05.2020 von Fortinet unter Customer Support-Bulletin CSB-200529-1 herausgegeben!
|
|
Bootfehler beim FortiOS 6.4.2 und FortiGate FG-100F & FG-101F - CSB-200820-1
Problembeschreibung:
Wenn eine FortiGate FG-100F oder FG-101F vom FortiOS 6.4.0 oder 6.4.1 auf 6.4.2 upgegradet wird, kann das Gerät möglicherweise nicht booten und in einem Rebooting-Loop hängen bleiben.
Potentiell betroffene Produkte:
- FortiGate FG-100F
- FortiGate FG-101F
Potentiell betroffene Software:
- FortiGate OS 6.2.4 wenn von der Version 6.4.0 oder 6.4.1 upgegradet wird (siehe noch Hinweis zu unterst im Artikel).
Workaround:
Wenn der Interfacename "fortilink" an zwei Stellen in der Konfiguration verwendet wird, kann die FortiGate 100F/101F auf dieses Problem stossen, wenn ein Upgrade Versuch auf 6.4.2 durchgeführt wird.
Falls dies nicht der Fall ist, kann das Gerät aktualisiert werden, ohne dass dieses Problem auftritt.
Prüfen Sie anhand der CLI, ob die Schnittstelle "fortilink" an zwei Stellen vorhanden ist, wie unten dargestellt:
Folgendermassen kann dies via CLI geprüft werden, ob das Interface "fortilink" an zwei Orten vorhanden ist:
FortiGate-101F # config system virtual-switch
FortiGate-101F (virtual-switch) # show
config system virtual-switch
edit "lan"
set physical-switch "sw0"
config port
edit "port1"
next
edit "port2"
*********************
edit "port19"
next
edit "port20"
next
end
next
edit "fortilink"
set physical-switch "sw0"
next
end
FortiGate-101F # show system interface
edit "fortilink"
set vdom "root"
set fortilink enable
set ip 169.254.1.1 255.255.255.0
set allowaccess ping fabric
set status down
set type aggregate
set member "x1" "x2"
set snmp-index 12
set lacp-mode static
Einfacher geht es natürlich mit folgendem Befehl:
show | grep -f fortilink
Das "Fortilink"-Interface kann nicht dynamisch aus der FortiGate entfernt werden, und die Konfigurationsdatei muss auf einen lokalen PC heruntergeladen, mit einem Texteditor bearbeitet und dann wieder auf die FortiGate hochgeladen werden.
Dies kann man folgendermassen durchführen:
- Die Konfiguration mit der Backupfunktion unverschlüsselt herunterladen.
- Konfigurationsdatei mit einem guten Texteditor öffnen.
- Die Zeile
config system virtual-switch
- Die folgenden Zeilen aus
config system virtual-switch entfernen
edit "fortilink"
set physical-switch "sw0"
next
- Abspeichern der Konfigurationsdatei als .conf
- Konfiguration mit der Restore-Funktion wieder einspielen
- Upgraden der FortiOS Version auf 6.4.2 B1723
Lösung:
- Das Problem wird im FortiOS 6.4.3 behoben (Veröffentlichung voraussichtlich im Oktober 2020).
|
Das Problem tritt nicht auf, wenn direkt von einer FortiOS 6.2.x Version upgegradet ist. Auch tritt das Problem nicht auf wenn die Konfiguration vom 6.4.x ursprünglich aus einer Konfigurationsversionsdatei der Version 6.2.x upgegradet wurde.
|
Diese Ankündigung wurde am 28.08.2020 von Fortinet unter Customer Support-Bulletin CSB-200820-1herausgegeben!
|
|
CAPWAP Traffic wird bei WiFi mit getunnelten SSIDs nach dem Upgrade auf FortiOS 6.4.3 verworfen - CSB-201027-1
Problembeschreibung:
Nach einem Upgrade auf FortiOS 6.4.3 können Probleme auftretten, wenn eine FortiAP über ein VLAN Interface verwaltet wird. Wenn der FortiAP im Tunnel Modus betrieben wird ,
kann es passieren, das es Probleme mit dem weiterleiten des CAPWAP Traffics von der FortiGate zum FortiAP gibt.
Der CAPWAP Traffic, welcher auf die NP6 und NP6XLite ASICs ausgelagert wird, wird für getunnelte SSIDs verworfen.
Dieses Problem tritt nicht auf, wenn der FortiAP auf der FortiGate von einem nicht VLAN Interface verwaltet wird.
Potentiell betroffene Software:
Workaround:
Deaktivieren des offloadings der CAPWAP Sessions.
Standartmässig werden verwaltete FortiAP- und FortiLink-CAPWAP-Sessions auf die NP6 oder NP6XLite ASICs ausgelagert.
Mit folgemdenm Befehl kann man das Offloading der CAPWAP Sessions deaktivieren:
config system npu
set capwap-offload disable
end
Lösung:
- Das Problem wird im FortiOS 6.4.4 behoben
Diese Ankündigung wurde am 28.10.2020 von Fortinet unter Customer Support-Bulletin CSB-201027-1 herausgegeben!
|
|
FortiGuard Webserver nicht erreichbar
Problem Beschreibung:
Wir haben viele Meldungen bekommen, dass wen auf FortiOS 6.4 upgegradet wird, es Probleme gibt die Webfilter Server der FortiGuard zu erreichen. Dadurch werden in den Firewall Regeln, welche einen Webfilter oder DNS Filter aktiv haben, diverse Anfragen verworfen. Dies liegt daran, dass die Anfrage einer Webseite welche Kategorie diese hat die FortiGuard Server keine Antwort senden und so diese Anfrage als unrated eingestuft wird. Je nach dem wie man jetzt den Webfilter/DNS-Filter konfiguriert hat, wird die Aktion ausgeführt, welche bei unrated konfiguriert wurde:
Wenn man auf FortiOS 6.4 upgradet wird der Kommunikationsport von der FortiGuard von udp8888 oder udp53 auf tcp443 geändert.
Diesen Port kann man im Webgui nicht mehr anpassen und muss über die CLI zurück auf udp 8888 oder udp 53 gesetzt werden.
Workaround
config system fortiguard
set fortiguard-anycast disable
set protocol udp
set port 8888
end
In gewissen Situationen musste die FortiGate neu gestartet werden, dass der Effekt eintraf.
|
Es ist darauf zu achten, dass bei einer allfälligen Perimeter Firewall ausgehend der Port UDP-8888 freigeschalten werden muss.
|
Fortinet ist dieses Problem bekannt und es wird daran gearbeitet eine Lösung zu finden.
Stand 3.11.2020
|