Fortinet:Support-Alerts: Unterschied zwischen den Versionen
4Tinu (Diskussion | Beiträge) |
4Tinu (Diskussion | Beiträge) |
||
| (80 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 47: | Zeile 47: | ||
---- | ---- | ||
<small>add 28.10.2022 - 4Tinu</small> | <small>add 28.10.2022 - 4Tinu</small> | ||
== Psirt == | |||
=== Wieso soll ich meine Fortigate Systeme immer auf einem aktuellen Software Stand haben? === | |||
'''Beschreibung'''<br> | |||
Ein Bedrohungsakteur hat eine bekannte Schwachstelle ausgenutzt, um Lesezugriff auf anfällige FortiGate-Geräte zu implementieren. Dies wurde durch das Erstellen eines symbolischen Links erreicht, der das Benutzerdateisystem und das Root-Dateisystem in einem Ordner verbindet, der zum Bereitstellen von Sprachdateien für das ssL-VPN verwendet wird. Diese Änderung fand im Benutzerdateisystem statt und blieb unentdeckt. Daher könnte dieser symbolische Link zurückgeblieben sein, selbst wenn das Kunden-Gerät mit FortiOS-Versionen aktualisiert wurde, die die ursprünglichen Schwachstellen behoben haben, und dem Bedrohungsakteur weiterhin Lesezugriff auf Dateien im Dateisystem des Geräts ermöglichen, zu denen möglicherweise auch Konfigurationen gehören. Wichtig ist, dass der Kunde nicht betroffen ist, wenn ssL-VPN nie aktiviert war. | |||
Als Teil einer Untersuchung hat Fortinet Scans durchgeführt, um betroffene Geräte mithilfe interner Telemetrie und in Zusammenarbeit mit Drittorganisationen zu identifizieren. Die Daten zeigen, dass diese Bedrohungsakteur-Aktivität nicht auf eine bestimmte Region oder Branche abzielt.</br> | |||
'''Abhilfe'''<br> | |||
Nach der Entdeckung der neuen Technik, die der Bedrohungsakteur oben beschrieben verwendet hat, hat Fortinet Schritte unternommen, um dieses Problem zu mildern und unterschiedliche Ebenen der Cyber-Hygiene und Herausforderungen, denen der Kunde möglicherweise gegenübersteht, auszubalancieren. Zu den Minderungsmassnahmen von Fortinet gehören: | |||
* Ein AV/IPS-Signatur wurde erstellt, um diesen symbolischen Link auf betroffenen Geräten zu erkennen und zu bereinigen. | |||
* Änderungen wurden in die neuesten Releases aufgenommen, um den symbolischen Link zu erkennen und zu entfernen und sicherzustellen, dass das ssL-VPN nur die erwarteten Dateien bereitstellt. | |||
* Proaktive Kommunikation, die Kunden zum Aktualisieren ihrer Geräte auffordert, sorgfältig ausbalanciert, um gegen weitere unbeabsichtigte Kompromittierungen zu schützen, und gleichzeitig unser Engagement für verantwortungsvolle Transparenz erfüllt. | |||
Speziell zu den in diesem Blog beschriebenen Ergebnissen (April 2025) hat Fortinet mehrere FortiOS-Abhilfemassnahmen veröffentlicht, darunter: | |||
* FortiOS 7.4, 7.2, 7.0, 6.4: Der symbolische Link wurde als bösartig vom AV/IPS-Engine markiert, sodass er automatisch entfernt wird, wenn die Engine lizenziert und aktiviert ist. | |||
* FortiOS 7.6.2, 7.4.7, 7.2.11 & 7.0.17, 6.4.16: Durch das Upgrade auf diese Version wird der bösartige symbolische Link entfernt. | |||
* FortiOS 7.6.2, 7.4.7, 7.2.11 & 7.0.17, 6.4.16: Die ssL-VPN-Benutzeroberfläche wurde modifiziert, um das Bereitstellen solcher bösartigen symbolischen Links zu verhindern. | |||
Fortinet hat direkt mit Kunden kommuniziert, die nach den verfügbaren Telemetriedaten als von diesem Problem betroffen identifiziert wurden, und empfehlen ihnen, folgende Schritte zu unternehmen: | |||
* Alle Geräte auf 7.6.2, 7.4.7, 7.2.11 & 7.0.17 oder 6.4.16 upgraden. | |||
* Die Konfiguration aller Geräte überprüfen. | |||
* Alle Konfigurationen als potenziell kompromittiert betrachten und die empfohlenen Schritte unten befolgen, um sich zu erholen: | |||
* [https://community.fortinet.com/t5/FortiGate/Technical-Tip-Recommended-steps-to-execute-in-case-of-a/ta-p/230694 KB-Artikel Fortinet] | |||
'''Muss ich upgraden?'''<br> | |||
Es ist von entscheidender Bedeutung, dass alle Organisationen ihre Geräte auf dem neuesten Stand halten. Verschiedene Regierungsorganisationen haben berichtet, dass staatlich unterstützte Bedrohungsakteure alle Anbieter, einschliesslich bekannter, aber ungepatchter Schwachstellen, ins Visier nehmen. Im Allgemeinen ist die beste Verteidigung gegen jede bekannte Schwachstelle die Einhaltung guter Cyber-Hygiene-Praktiken, einschliesslich Upgrades. | |||
Der 2H 2023 Global Threat Landscape Report von FortiGuard Labs hat herausgefunden, dass Bedrohungsakteure durchschnittlich 4,76 Tage nach der öffentlichen Bekanntgabe einer neuen Schwachstelle eine bekannte Schwachstelle ausnutzen. In diesem Klima haben sowohl Anbieter als auch Kunden eine Rolle zu spielen. Anbieter müssen robuste Sicherheitsprüfungen in allen Phasen des Produktentwicklungslebenszyklus einführen und sich der verantwortungsvollen Transparenz in ihren Schwachstellenmeldungen widmen. Mit mehr als 40.000 aufgezeichneten Schwachstellen im Jahr 2024 basierend auf Daten von NIST ist es auch von entscheidender Bedeutung, dass Kunden ein strenges Patch-Regime einhalten, um das Risiko einer Ausnutzung zu verringern. | |||
In Bezug auf diesen Vorfall hat Fortinet direkt mit identifizierten betroffenen Kunden kommuniziert, die auf Basis der verfügbaren Telemetrie Massnahmen ergreifen müssen. Fortinet empfiehlt jedoch allen Kunden, unabhängig davon auf eine dieser empfohlenen Versionen zu upgraden. | |||
Fortinet hat auch viele Änderungen integriert, um die Sicherheitsfunktionen weiter zu verbessern, die sich mit den wichtigsten Herausforderungen der Kunden befassen und für Kunden verfügbar sind, die auf die neueste Version aktualisieren, einschliesslich, aber nicht beschränkt auf: | |||
* Zusätzliche Kompilierungszeit-Härtung, um die Angriffsbarriere auf Produkte zu erhöhen. | |||
* Virtuelles Patchen, um Probleme vor der Patch-Verarbeitung zu mildern. | |||
* Implementierung der Firmware-Integritätsvalidierung in Hardware (BIOS). | |||
* Einführung der Integrity Measurement Architecture (IMA) / Filesystem Integrity. | |||
* Automatische Updates, um Geräte nahtlos gegen Schwachstellen zu patchen, ohne dass Administratoren eingreifen müssen. | |||
Fortinet ermutigt Kunden weiterhin, die FortiOS-Best-Practice-Ressourcen zu nutzen, einschliesslich Anleitungen zur Systemhärtung sowie Funktionen, die Kunden helfen, den Aktualisierungsprozess zu automatisieren, wie Uninterrupted Cluster Upgrade, Sub-second failover, Fail-over protection, Auto-restore configs / Configuration revisions und Automatic / Scheduled patch upgrades. | |||
<small>''Quelle: https://www.fortinet.com/blog/psirt-blogs/analysis-of-threat-actor-activity''</small> | |||
---- | |||
<small>add 15.04.2025 - 4Tinu <nowiki>|</nowiki>'' [https://cloud.also.mp/de/de/microsoft-copilot-trainings/ Microsoft Copilot] [[File:copilot-icon.png|20px|link=https://cloud.also.mp/de/de/microsoft-copilot-trainings/]] hat mir geholfen''</small> | |||
== Vulnerabilities == | == Vulnerabilities == | ||
| Zeile 53: | Zeile 89: | ||
| style="width:100px;background-color: #f2f79d;vertical-align:top"| <span style="color:#ffbb98">[[File:vulnerability.svg|100px|link=]]</span> | | style="width:100px;background-color: #f2f79d;vertical-align:top"| <span style="color:#ffbb98">[[File:vulnerability.svg|100px|link=]]</span> | ||
| | | | ||
===Was bedeutet "FortiBleed"?=== | |||
[[Datei:new.svg|40px|link=]] | |||
---- | |||
<big>'''Einleitung:'''</big></br> | |||
FortiBleed beschreibt eine gross angelegte Credential-Exposure- und Exploitation-Kampagne gegen internetexponierte Fortinet FortiGate Firewalls | |||
und SSL-VPN-Gateways. Laut öffentlicher Berichterstattung wurden über 73'000 eindeutige Fortinet-Firewall-URLs in 194 Ländern mit kompromittierten | |||
oder validierten Zugangsdaten in Verbindung gebracht. Die Kampagne zeigt deutlich, dass nicht nur klassische Schwachstellen, | |||
sondern auch wiederverwendete, geleakte oder unzureichend geschützte Zugangsdaten ein kritisches Risiko für Perimeter-Systeme darstellen. | |||
<big>'''Ursache:'''</big></br> | |||
Die Ursache von FortiBleed liegt nach aktuellem Kenntnisstand nicht in einer bestätigten einzelnen Zero-Day-Schwachstelle oder einem eindeutig | |||
zugeordneten CVE. Vielmehr handelt es sich um eine Kombination aus internetweit erreichbaren Fortinet-Instanzen, historischen Credential-Leaks, | |||
Credential-Stuffing, Brute-Force-Aktivitäten und potenziell bereits kompromittierten Zugangsdaten. Angreifer haben automatisiert nach exponierten | |||
FortiGate- und SSL-VPN-Systemen gesucht und diese gegen grosse Sammlungen bekannter Benutzernamen und Passwörter getestet. | |||
Besonders kritisch ist, dass auch komplexe Passwörter betroffen sein können, wenn sie bereits durch Infostealer-Malware, frühere Datenabflüsse oder | |||
unsichere Wiederverwendung in Klartextdatenbanken vorhanden waren. Die eigentliche Schwachstelle ist daher häufig nicht die Passwortlänge, sondern | |||
die fehlende Kontrolle über die Herkunft, Wiederverwendung und Absicherung von Credentials auf sicherheitskritischen Edge-Systemen. | |||
<big>'''Was bedeutet der „Bleed“ bei FortiBleed?'''</big></br> | |||
Der Begriff ''Bleed'' beschreibt in diesem Kontext das fortlaufende Abfliessen von Zugangsdaten und Authentifizierungsinformationen aus | |||
kompromittierten Umgebungen. Sobald Angreifer Zugriff auf ein Fortinet-Gateway erhalten, kann das System als Beobachtungspunkt an der Netzwerkgrenze | |||
missbraucht werden. Darüber lassen sich weitere Anmeldeinformationen aus VPN-, Verwaltungs- oder nachgelagerten Netzwerkverbindungen identifizieren, | |||
sammeln und erneut für weitere Angriffe verwenden.</br> | |||
Dieser Prozess ist besonders gefährlich, weil er sich selbst verstärken kann: Bereits bekannte Zugangsdaten ermöglichen den ersten Zugriff, der Zugriff | |||
ermöglicht die Sammlung weiterer Credentials, und diese neuen Credentials werden anschliessend wieder für zusätzliche Systeme getestet. | |||
Dadurch entsteht ein automatisierter Kreislauf, der über eine einzelne Firewall hinausgehen und sich bis in interne Verzeichnisdienste wie | |||
Active Directory ausweiten kann. | |||
<big>'''Impact'''</big></br> | |||
Der Impact ist hoch, weil FortiGate-Firewalls und SSL-VPN-Gateways typischerweise direkt am Netzwerkperimeter betrieben werden. | |||
Ein erfolgreicher Zugriff kann Angreifern ermöglichen, administrative Schnittstellen zu missbrauchen, VPN-Zugänge zu verwenden, | |||
Traffic zu beobachten, zusätzliche Zugangsdaten zu erbeuten und sich lateral in interne Netzwerke zu bewegen. Besonders kritisch ist dies für | |||
Organisationen mit exponierten Management-Interfaces, fehlender Multi-Faktor-Authentifizierung oder unzureichender Protokollüberwachung.</br> | |||
Ein weiterer Risikofaktor ist die mögliche Persistenz. Selbst wenn ein Passwort später geändert oder eine bekannte Schwachstelle gepatcht wird, | |||
können Angreifer bereits zusätzliche Konten, Tokens, Konfigurationen oder interne Zugangspfade gesammelt haben. Deshalb reicht eine reine | |||
Passwortänderung in vielen Fällen nicht aus. Du musst davon ausgehen, dass ein kompromittierter Perimeter-Zugang eine vollständige | |||
Incident-Response-Prüfung erfordert.</br> | |||
<big>'''Empfohlene Massnahmen'''</big></br> | |||
* Prüfe alle internetexponierten FortiGate- und SSL-VPN-Systeme auf verdächtige Login-Versuche, ungewöhnliche Admin-Aktivitäten und unbekannte VPN-Sessions. | |||
* Erzwinge umgehend eine Rotation aller lokalen, administrativen und VPN-bezogenen Zugangsdaten auf betroffenen oder potenziell exponierten Systemen. | |||
* Aktiviere Multi-Faktor-Authentifizierung konsequent für VPN-Zugänge, Administrator-Konten und privilegierte Benutzer. | |||
* Beschränke Management-Zugriffe auf dedizierte Admin-Netze, vertrauenswürdige IP-Adressen oder sichere Out-of-Band-Zugänge. | |||
* Deaktiviere unnötige öffentliche Verwaltungsoberflächen und stelle sicher, dass nur zwingend benötigte Services aus dem Internet erreichbar sind. | |||
* Aktualisiere FortiOS, FortiGate- und SSL-VPN-Komponenten auf die vom Hersteller empfohlenen Versionen und prüfe zusätzlich alle relevanten Fortinet Security Advisories. | |||
* Analysiere FortiGate-Konfigurationen auf unbekannte Admin-Konten, manipulierte Policies, verdächtige VPN-Profile und unautorisierte Änderungen. | |||
* Überprüfe Active Directory, RADIUS, LDAP und andere angebundene Authentifizierungssysteme auf verdächtige Anmeldeereignisse und laterale Bewegungen. | |||
* Setze Credential-Hygiene durch: keine Passwortwiederverwendung, regelmässige Überprüfung gegen bekannte Leaks und strikte Trennung von Service-, Admin- und Benutzerkonten. | |||
* Führe bei Verdacht auf Kompromittierung eine vollständige Incident-Response-Analyse durch, inklusive Log-Sicherung, forensischer Prüfung und Bewertung möglicher Datenexfiltration. | |||
<big>'''Technische Einschätzung'''</big></br> | |||
FortiBleed sollte nicht als isolierter Produktfehler betrachtet werden, sondern als Warnsignal für den Schutz von Edge-Infrastrukturen. | |||
Du solltest Fortinet-Systeme am Perimeter wie kritische Identitäts- und Zugriffskomponenten behandeln. Entscheidend sind starke Authentifizierung, | |||
eingeschränkte Erreichbarkeit, konsequentes Patching, saubere Credential-Prozesse und ein Monitoring, das nicht nur Schwachstellen, | |||
sondern auch missbräuchliche Nutzung gültiger Zugangsdaten erkennt. | |||
---- | |||
<small>add 19.06.2026 - 4Tinu <nowiki>|</nowiki>'' [https://cloud.also.mp/de/de/microsoft-copilot-trainings/ Microsoft Copilot] [[File:copilot-icon.png|20px|link=https://cloud.also.mp/de/de/microsoft-copilot-trainings/]] hat mir geholfen''</small> | |||
|} | |||
---- | |||
{| class="wikitable" style="width:100%" | |||
|- | |||
| style="width:100px;background-color: #f2f79d;vertical-align:top"| <span style="color:#ffbb98">[[File:vulnerability.svg|100px|link=]]</span> | |||
| | |||
===OpenSSL - CVE-2025-15467=== | |||
---- | |||
<Big>'''Problembeschreibung'''</big></br> | |||
Das Parsen einer CMS AuthEnvelopedData-Nachricht mit absichtlich manipulierten AEAD-Parametern kann einen Stack-Buffer-Overflow auslösen. | |||
Ein Stack-Buffer-Overflow kann zu einem Absturz führen, was wiederum einen Denial-of-Service (DoS) verursacht oder potenziell sogar eine | |||
Remotecodeausführung ermöglicht. Beim Parsen von CMS AuthEnvelopedData-Strukturen, die AEAD-Verschlüsselungen wie AES-GCM verwenden, | |||
wird der im ASN.1-Parameter kodierte IV (Initialisierungsvektor) in einen Stack-Puffer fester Grösse kopiert, ohne zu überprüfen, ob dessen Länge in das Ziel passt. | |||
Ein Angreifer kann eine speziell präparierte CMS-Nachricht mit einem zu grossen IV bereitstellen, was zu einem Stack-basierten Schreibzugriff ausserhalb | |||
der vorgesehenen Grenzen führt, noch bevor eine Authentifizierung oder Tag-Prüfung stattfindet. Anwendungen und Dienste, die nicht | |||
vertrauenswürdige CMS* oder PKCS#7-Inhalte mit AEAD-Verschlüsselungen (z. B. S/MIME AuthEnvelopedData mit AES-GCM) verarbeiten, sind gefährdet. | |||
Da der Overflow vor der Authentifizierung auftritt, ist kein gültiges Schlüsselmaterial erforderlich, um ihn auszulösen. | |||
Die Ausnutzbarkeit zur Remotecodeausführung hängt zwar von Plattform* und Toolchain-Schutzmechanismen ab, aber der Stack-basierte Schreibzugriff stellt ein erhebliches Risiko dar. | |||
Die FIPS-Module in den Versionen 3.6, 3.5, 3.4, 3.3 und 3.0 sind von diesem Problem nicht betroffen, | |||
da die CMS-Implementierung ausserhalb des OpenssL-FIPS-Moduls liegt. | |||
* OpenssL 3.6, 3.5, 3.4, 3.3 und 3.0 sind jedoch anfällig für dieses Problem. | |||
* OpenssL 1.1.1 und 1.0.2 sind davon nicht betroffen. | |||
Fortinet PSIRT untersucht derzeit die Auswirkungen dieses CVE auf die Fortinet-Produkte.</br> | |||
betroffen.. </br> | |||
<Big>'''Bedrohungslevel:'''</big> | |||
* Severity : Critical | |||
* Die Bedrohung wird mit einem CVssv3 Score von '''9.8''' eingestuft! | |||
'''Nicht Betroffene Systeme (Stand 25.03.2026)''' | |||
* FortiAP | |||
* FortiWeb | |||
* FortiVoice | |||
* FortiTester | |||
* FortiSwitch | |||
* FortiSandbox | |||
* FortiSOAR | |||
* FortiSIEM | |||
* FortiRecorder | |||
* FortiPortal | |||
* FortiOS | |||
* FortiNAC-F | |||
* FortiNAC | |||
* FortiManager | |||
* FortiMail | |||
* FortiExtender | |||
* FortiDDoS | |||
* FortiConverter | |||
* FortiCloud | |||
* FortiClient Windows | |||
* FortiClient MacOS | |||
* FortiClient Linux | |||
* FortiAuthenticator | |||
* FortiAnalyzer | |||
* FortiAP-W2 | |||
* FortiAP-U | |||
* FortiClient iOS | |||
* FortiClient Android | |||
* FortiClient EMS | |||
* FortiWebManager | |||
* FortiADC | |||
* FortiADC Manager | |||
* FortiProxy | |||
---- | |||
'''Weitere Informationen findet man unter folgenden externen Artikeln:'''<br> | |||
<small> | |||
PSIRT FortiGuard: | |||
* https://fortiguard.fortinet.com/psirt/FG-IR-26-076 <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small> | |||
CVE Informationen | |||
* https://www.cve.org/CVERecord?id=CVE-2025-15467<small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small> | |||
Weitere Referenzen: | |||
* https://www.openwall.com/lists/oss-security/2026/01/27/10 <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small> | |||
* https://nvd.nist.gov/vuln/detail/CVE-2025-15467 <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small> | |||
</small> | |||
---- | |||
<small>edit 25.03.2026 * 4Tinu</small> | |||
|} | |||
---- | |||
{| class="wikitable" style="width:100%" | |||
|- | |||
| style="width:100px;background-color: #f2f79d;vertical-align:top"| <span style="color:#ffbb98">[[File:vulnerability.svg|100px|link=]]</span> | |||
| | |||
===Administrative FortiCloud SSO authentication bypass - FG-IR-26-060=== | |||
[[Datei:new.svg|40px|link=]] | |||
---- | |||
<Big>'''Problembeschreibung'''</big></br> | |||
Eine Schwachstelle vom Typ „Authentication Bypass Using an Alternate Path or Channel“ [CWE-288] in FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb kann es einem Angreifer mit einem | |||
FortiCloud-Konto und einem registrierten Gerät ermöglichen, sich an anderen Geräten anzumelden, die bei anderen Konten registriert sind, | |||
sofern auf diesen Geräten die FortiCloud SSO-Authentifizierung aktiviert ist. | |||
Bitte beachte, dass die FortiCloud SSO-Anmeldefunktion in den Werkseinstellungen standardmässig deaktiviert ist. | |||
Wenn Du jedoch das Gerät über die Geräteeinstellungen bei FortiCare registrierst, wird FortiCloud SSO für die Anmeldung aktiviert, | |||
sofern Du beim Registrierungsprozess die Option <code>Allow administrative login using FortiCloud SSO</code> nicht deaktivierst. | |||
Diese Schwachstelle wurde bereits aktiv ausgenutzt: </br> | |||
* Zwei böswillige FortiCloud-Konten wurden dabei am 22.01.2026 gesperrt. | |||
* Um weiteren Missbrauch zu verhindern, hat Fortinet am 26.01.2026 die FortiCloud SSO-Funktion serverseitig deaktiviert. | |||
* Am 27.01.2026 wurde sie wieder aktiviert, unterstützt jedoch keine Anmeldungen mehr von Geräten mit verwundbaren Versionen. | |||
Du musst daher auf die unten aufgeführten neuesten Versionen aktualisieren, damit FortiCloud SSO weiterhin genutzt werden kann. | |||
* FortiManager Cloud, FortiAnalyzer Cloud und FortiGate Cloud sind nicht betroffen. | |||
* Setups mit einem eigenen IdP für SSO statt FortiCloud sind '''nicht betroffen''' (einschliesslich Setups mit FortiAuthenticator als Custom IdP). | |||
<Big>'''Bedrohungslevel:'''</big> | |||
* Severity : Critical | |||
* Die Bedrohung wird mit einem CVSSv3 Score von '''9.4''' eingestuft! | |||
<Big>'''Betroffene Systeme:'''</big> | |||
'''FortiAnalyzer''' | |||
* FortiAnalyzer 7.6 : 7.6.0 - 7.6.5 | |||
* FortiAnalyzer 7.4 : 7.4.0 - 7.4.9 | |||
* FortiAnalyzer 7.2 : 7.2.0 - 7.2.11 | |||
* FortiAnalyzer 7.0 : 7.0.0 - 7.0.15 | |||
* FortiAnalyzer 6.4 : 6.4.x ist nicht betroffen | |||
'''FortiManager''' | |||
* FortiManager 7.6 : 7.6.0 - 7.6.5 | |||
* FortiManager 7.4 : 7.4.0 - 7.4.9 | |||
* FortiManager 7.2 : 7.2.0 - 7.2.11 | |||
* FortiManager 7.0 : 7.0.0 - 7.0.15 | |||
* FortiManager 6.4 : 6.4.x ist nicht betroffen | |||
'''FortiGate:''' | |||
* FortiOS 8.0 : 8.0.x ist nicht betroffen | |||
* FortiOS 7.6 : 7.6.0 - 7.6.5 | |||
* FortiOS 7.4 : 7.4.0 - 7.4.10 | |||
* FortiOS 7.2 : 7.2.0 - 7.2.12 | |||
* FortiOS 7.0 : 7.0.0 - 7.0.18 | |||
* FortiOS 6.4 : 6.4.x ist nicht betroffen | |||
'''FortiProxy:''' | |||
* FortiProxy 7.6 : 7.6.0 - 7.6.4 | |||
* FortiProxy 7.4 : 7.4.0 - 7.4.12 | |||
* FortiProxy 7.2 : 7.2.x Alle Versionen | |||
* FortiProxy 7.0 : 7.0.x Alle Versionen | |||
'''FortiWeb:''' | |||
* FortiWeb 8.0 : 8.0.0 - 8.0.3 | |||
* FortiWeb 7.6 : 7.6.0 - 7.6.6 | |||
* FortiWeb 7.4 : 7.4.0 - 7.6.6 | |||
* FortiWeb 7.2 : 7.2.x ist nicht betroffen | |||
* FortiWeb 7.0 : 7.0.x ist nicht betroffen | |||
'''FortiSwitch Manager:''' | |||
* Dieses Produkt wird noch untersucht ob es auch betroffen ist. | |||
<Big>'''Lösung:'''</big></br> | |||
Auf folgende Versionen upgraden, damit die Sicherheitslücke geschlossen wird. | |||
'''FortiAnalyzer''' | |||
* FortiAnalyzer 7.6 : upgraden auf 7.6.6 <small>Version bald verfügbar - Stand 29.01.2026</small> | |||
* FortiAnalyzer 7.4 : upgraden auf 7.4.10 oder höher | |||
* FortiAnalyzer 7.2 : upgraden auf 7.2.12 <small>Version bald verfügbar - Stand 29.01.2026</small> | |||
* FortiAnalyzer 7.0 : upgraden auf 7.0.16 <small>Version bald verfügbar - Stand 29.01.2026</small> | |||
'''FortiManager''' | |||
* FortiManager 7.6 : upgraden auf 7.6.6 <small>Version bald verfügbar - Stand 29.01.2026</small> | |||
* FortiManager 7.4 : upgraden auf 7.4.10 oder höher | |||
* FortiManager 7.2 : upgraden auf 7.2.13 <small>Version bald verfügbar - Stand 29.01.2026</small> | |||
* FortiManager 7.0 : upgraden auf 7.0.16 <small>Version bald verfügbar - Stand 29.01.2026</small> | |||
'''FortiGate:''' | |||
* FortiOS 7.6 : upgraden auf [[:Datei:FortiOS-Release-Notes-Version-7.6.6.pdf|7.6.6]] oder höher | |||
* FortiOS 7.4 : upgraden auf [[:Datei:FortiOS-Release-Notes-Version-7.4.11.pdf|7.4.11]] oder höher | |||
* FortiOS 7.2 : upgraden auf [[:Datei:FortiOS-Release-Notes-Version-7.2.13.pdf|7.2.13]] oder höher | |||
* FortiOS 7.0 : upgraden auf <small>Version bald verfügbar - Stand 30.01.2026</small> | |||
'''FortiProxy:''' | |||
* FortiProxy 7.6 : upgraden auf 7.6.6 <small>Version bald verfügbar - Stand 29.01.2026</small> | |||
* FortiProxy 7.4 : upgraden auf 7.4.13 <small>Version bald verfügbar - Stand 29.01.2026</small> | |||
* FortiProxy 7.2 : upgraden auf 7.2.x migrieren auf eine Supportete Version (7.6.6 oder 7.4.13) | |||
* FortiProxy 7.0 : upgraden auf 7.0.x migrieren auf eine Supportete Version (7.6.6 oder 7.4.13) | |||
'''FortiWeb:''' | |||
* FortiWeb 8.0 : upgraden auf 8.0.4 <small>Version bald verfügbar - Stand 29.01.2026</small> | |||
* FortiWeb 7.6 : upgraden auf 7.6.7 <small>Version bald verfügbar - Stand 29.01.2026</small> | |||
* FortiWeb 7.4 : upgraden auf 7.4.12 <small>Version bald verfügbar - Stand 29.01.2026</small> | |||
<Big>'''Weitere Massnahmen und Workaround:'''</big> | |||
Die FortiCloud SSO-Authentifizierung unterstützt keine Anmeldungen mehr von Geräten mit verwundbaren Versionen.</br> | |||
Daher ist es derzeit nicht notwendig, die FortiCloud SSO-Anmeldung auf der Client-Seite zu deaktivieren. </br> | |||
Zur Referenz kann dies dennoch wie folgt durchgeführt werden: | |||
Bei FortiOS und FortiProxy: | |||
{| class="wikitable" style="width:850px" | |||
|- style="background:#89E871" | |||
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:''' | |||
|- | |||
| | |||
Zum Deaktivieren der FortiCloud-Login-Funktion navigierst Du zu: | |||
<code> System </code>→<code> Settings </code>→<code>Allow administrative login using FortiCloud SSO</code> Option deaktivieren. | |||
[[Datei:Fortinet-3546.jpg|550px|link=]] | |||
|} | |||
{| class="wikitable" style="width:850px" | |||
|- style="background:#89E871" | |||
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:''' | |||
|- | |||
| | |||
<pre style="background-color:#252269;color: #FFFFFF"> | |||
config system global | |||
set admin-forticloud-sso-login disable | |||
end | |||
</pre> | |||
|} | |||
Beim FortiManager oder FortiAnalyzer: | |||
{| class="wikitable" style="width:850px" | |||
|- style="background:#89E871" | |||
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:''' | |||
|- | |||
| | |||
Zum Deaktivieren der FortiCloud-Login-Funktion navigierst Du zu: | |||
<code> System Settings </code>→<code> SAML SSO </code>→<code>Allow admins to login with FortiCloud</code> Option deaktivieren. | |||
[[Datei:Fortinet-3550.jpg|550px|link=]] | |||
|} | |||
{| class="wikitable" style="width:850px" | |||
|- style="background:#89E871" | |||
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:''' | |||
|- | |||
| | |||
<pre style="background-color:#252269;color: #FFFFFF"> | |||
config system saml | |||
set forticloud-sso disable | |||
end | |||
</pre> | |||
|} | |||
<big>'''Idicators of Compromise'''</big></br> | |||
'''SSO-Login-Benutzerkonten:''' | |||
Der Angreifer wurde dabei beobachtet, sich mit den folgenden Benutzerkonten anzumelden: | |||
* cloud-noc@mail.io | |||
* cloud-init@mail.io | |||
Fortinet geht davon aus, dass sich diese Adressen in Zukunft ändern könnten, da Massnahmen ergriffen wurden, um diese Konten zu neutralisieren.</br> | |||
'''IP-Adressen''': | |||
Der Angreifer wurde beobachtet, wie er sich über mehrere IP-Adressen angemeldet hat und offenbar auf durch Cloudflare geschützte IPs gewechselt ist: | |||
* 104.28.244.115 | |||
* 104.28.212.114 | |||
* 104.28.212.115 | |||
* 104.28.195.105 | |||
* 104.28.195.106 | |||
* 104.28.227.106 | |||
* 104.28.227.105 | |||
* 104.28.244.114 | |||
Adressen die nicht von Fortinet sondern von Drittpersonen beobachtet wurden: | |||
* 37[.]1.209.19 | |||
* 217[.]119.139.50 | |||
'''Bösartige Erstellung lokaler Konten:''' | |||
Nach der Authentifizierung via SSO wurde beobachtet, dass der Angreifer ein lokales Administratorkonto mit einem der folgenden Namen erstellt. <br> | |||
Diese Namen haben sich im Verlauf der Analyse geändert. Daher empfiehlt Fortinet, alle Administratorkonten zu überprüfen, um unerwartete Einträge zu identifizieren: | |||
* audit | |||
* backup | |||
* itadmin | |||
* secadmin | |||
* support | |||
* backupadmin | |||
* deploy | |||
* itadmin | |||
* remoteadmin | |||
* security | |||
* svcadmin | |||
* system | |||
{| class="wikitable" style="width:850px" | |||
|- | |||
| style="width:50px;background-color: #89e872;"| <span>[[File:hinweis.svg|50px|link=]]</span> | |||
| style="background-color: #c4f3b8"| | |||
In diesem Wiki Artikel wird erklärt, wie man eine Email bekommt, wenn eine Konfigurationsänderung vorgenommen wird. | |||
* [[FortiGate:FAQ#Wie_richte_ich_einen_Automation_Stitch_f%C3%BCr_Konfigurations-%C3%84nderungen_ein?|Wie richte ich einen Automation Stitch für Konfigurations-Änderungen ein?]] <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small> | |||
|} | |||
'''Hauptoperationen des Angreifers:''' | |||
* Herunterladen der Kunden-Konfigurationsdatei | |||
* Hinzufügen eines Administratorkontos zur Erhaltung des Zugriffs (Persistenz) | |||
---- | |||
'''Weitere Informationen findet man unter folgenden externen Artikeln:'''<br> | |||
<small> | |||
PSIRT - FortiGuard: | |||
* https://www.fortiguard.com/psirt/FG-IR-26-060 <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small> | |||
* https://www.fortinet.com/blog/psirt-blogs/analysis-of-sso-abuse-on-fortios <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small> | |||
CVE Informationen | |||
* https://www.cve.org/CVERecord?id=CVE-2026-24858<small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small> | |||
Heise.de: | |||
* https://www.heise.de/news/Fortinet-kaempft-weiter-gegen-laufende-SSO-Admin-Attacken-11156437.html<small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small> | |||
</small> | |||
---- | |||
<small>edit 30.01.2026 - 4Tinu</small> | |||
|} | |||
---- | |||
{| class="wikitable" style="width:100%" | |||
|- | |||
| style="width:100px;background-color: #f2f79d;vertical-align:top"| <span style="color:#ffbb98">[[File:vulnerability.svg|100px|link=]]</span> | |||
| | |||
===Heap-based buffer overflow in cw_acd daemon - FG-IR-25-084=== | |||
---- | |||
<Big>'''Problembeschreibung'''</big> | |||
Eine heap-basierte Pufferüberlauf-Schwachstelle [CWE-122] in FortiOS und FortiSwitchManager cw_acd Daemon kann es einem remoten, | |||
nicht authentifizierten Angreifer ermöglichen, beliebigen Code oder Befehle über speziell erstellte Anfragen auszuführen. | |||
Das Vorhandensein von Sicherheitskontrollen wie ASLR und PIE erhöht die Komplexität und den Vorbereitungsaufwand für die Ausnutzung erheblich. | |||
<Big>'''Bedrohungslevel:'''</big> | |||
* Severity : High | |||
* Die Bedrohung wird mit einem CVSSv3 Score von '''7.4''' eingestuft! | |||
<Big>'''Betroffene Systeme:'''</big> | |||
'''FortiGate:''' | |||
* FortiOS 7.6.0 - 7.6.3 | |||
* FortiOS 7.4.0 - 7.4.8 | |||
* FortiOS 7.2.0 - 7.2.11 | |||
* FortiOS 7.0.0 - 7.0.17 | |||
* FortiOS 6.4.0 - 6.4.16 | |||
'''FortiSwitchManager:'''/<br> | |||
* FortiSwitchManager 7.2.0 bis 7.2.6 | |||
* FortiSwitchManager 7.0.0 bis 7.0.5 | |||
<Big>'''Lösung:'''</big></br> | |||
Auf folgende Versionen upgraden, damit die Sicherheitslücke geschlossen wird. | |||
'''FortiGate:''' | |||
* FortiOS 7.6.4 oder höher | |||
* FortiOS 7.4.9 oder höher | |||
* FortiOS 7.2.12 oder höher | |||
* FortiOS 7.0.18 oder höher | |||
* FortiOS 6.4.17 (wird folgen) | |||
'''FortiSwitchManager:'''/<br> | |||
* FortiSwitchManager 7.2.7 oder höher | |||
* FortiSwitchManager 7.0.6 oder höher | |||
<Big>'''Weitere Massnahmen und Workaround:'''</big> | |||
Bei jedem Interface den <code>fabric</code> Zugriff entfehrnen. | |||
Beispiel Konfiguration: | |||
Ausgangslage: | |||
<pre> | |||
config system interface | |||
edit "port1" | |||
set allowaccess fabric ssh https | |||
next | |||
end | |||
</pre> | |||
ändern zu: | |||
<pre> | |||
config system interface | |||
edit "port1" | |||
set allowaccess ssh https | |||
next | |||
end | |||
</pre> | |||
eine Weitere Massnahme ist es den zum CAPWAP Daemon verweigern. | |||
Für jedes interface mit dem <code>fabric</code> service, mit einer Localin Policy die CAPWAP-CONTROL Ports (udp 5246 - 5249) blockieren. | |||
Beispiel: | |||
<pre> | |||
config firewall service custom | |||
edit "CAPWAP-CONTROL" | |||
set udp-portrange 5246-5249 | |||
next | |||
end | |||
config firewall addrgrp | |||
edit "CAPWAP_DEVICES_IPs" | |||
set member "my_allowed_addresses" <-- IP adressen welche erlaubt sind | |||
end | |||
config firewall local-in-policy | |||
edit 1 <-- Regel welche den Zugriff erlaubt. | |||
set intf "port1" <-- Interfaces bei welchem fabric aktiviert ist | |||
set srcaddr "CAPWAP_DEVICES_IPs" | |||
set dstaddr "all" | |||
set service "CAPWAP-CONTROL" | |||
set schedule "always" | |||
set action accept | |||
next | |||
edit 2 <-- Regel welche alle anderen Interfaces blockiert mit dem | |||
set intf "any" | |||
set srcaddr "all' | |||
set dstaddr "all" | |||
set service "CAPWAP-CONTROL" | |||
set schedule "always" | |||
set action deny | |||
next | |||
end | |||
</pre> | |||
---- | |||
'''Weitere Informationen findet man unter folgenden externen Artikeln:'''<br> | |||
<small> | |||
PSIRT - FortiGuard: | |||
* https://www.fortiguard.com/psirt/FG-IR-25-084 <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small> | |||
CVE Informationen | |||
* https://www.cvedetails.com/cve/CVE-2025-25249/<small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small> | |||
</small> | |||
---- | |||
<small>add 21.01.2026 - 4Tinu</small> | |||
|} | |||
---- | |||
{| class="wikitable" style="width:100%" | |||
|- | |||
| style="width:100px;background-color: #f2f79d;vertical-align:top"| <span style="color:#ffbb98">[[File:vulnerability.svg|100px|link=]]</span> | |||
| | |||
===Multiple Fortinet Products FortiCloud SSO Login Authentication Bypass - CVE-2025-59718 und CVE-2025-59719=== | |||
[[Datei:new.svg|40px|link=]] | |||
---- | |||
<Big>'''Problembeschreibung'''</big> | |||
Eine Schwachstelle aufgrund unzureichender Verifizierung kryptographischer Signaturen (CWE-347) in FortiOS, FortiWeb, FortiProxy und FortiSwitchManager | |||
kann es einem nicht authentifizierten Angreifer ermöglichen, die FortiCloud-SSO-Login-Authentifizierung durch eine manipulierte SAML-Nachricht zu umgehen, | |||
sofern diese Funktion auf Deinem Gerät aktiviert ist. | |||
<Big>'''Bedrohungslevel:'''</big> | |||
* Severity : Critical | |||
* Die Bedrohung wird mit einem CVSSv3 Score von '''9.1''' eingestuft! | |||
<Big>'''Betroffene Systeme:'''</big> | |||
'''FortiGate:''' | |||
* FortiOS 7.6.0 - 7.6.4 | |||
* FortiOS 7.4.0 - 7.4.8 | |||
* FortiOS 7.2.0 - 7.2.11 | |||
* FortiOS 7.0.0 - 7.0.17 | |||
* FortiOS 6.4.x ist nicht betroffen | |||
'''FortiProxy:'''</br> | |||
* FortiProxy 7.6.0 bis 7.6.3 | |||
* FortiProxy 7.4.0 bis 7.4.10 | |||
* FortiProxy 7.2.0 bis 7.2.14 | |||
* FortiProxy 7.0.0 bis 7.0.21 | |||
'''FortiWeb:'''</br> | |||
* FortiWeb 8.0.0 | |||
* FortiWeb 7.6.0 bis 7.6.4 | |||
* FortiWeb 7.4.0 bis 7.4.9 | |||
* FortiWeb 7.2.x ist nicht betroffen | |||
* FortiWeb 7.0.x ist nicht betroffen | |||
'''FortiSwitchManager:'''/<br> | |||
* FortiSwitchManager 7.2.0 bis 7.2.6 | |||
* FortiSwitchManager 7.0.0 bis 7.0.5 | |||
<Big>'''Lösung:'''</big></br> | |||
Auf folgende Versionen upgraden, damit die Sicherheitslücke geschlossen wird. | |||
'''FortiGate:''' | |||
* FortiOS 7.6.4 oder höher | |||
* FortiOS 7.4.9 oder höher | |||
* FortiOS 7.2.12 oder höher | |||
* FortiOS 7.0.18 oder höher | |||
'''FortiProxy:'''</br> | |||
* FortiProxy 7.6.4 oder höher | |||
* FortiProxy 7.4.11 oder höher | |||
* FortiProxy 7.2.15 oder höher | |||
* FortiProxy 7.0.22 oder höher | |||
'''FortiWeb:'''</br> | |||
* FortiWeb 8.0.1 oder höher | |||
* FortiWeb 7.6.5 oder höher | |||
* FortiWeb 7.4.10 oder höher | |||
'''FortiSwitchManager:'''/<br> | |||
* FortiSwitchManager 7.2.7 oder höher | |||
* FortiSwitchManager 7.0.6 oder höher | |||
<Big>'''Weitere Massnahmen und Workaround:'''</big> | |||
Um zu verhindern, dass betroffene Versionen durch diese Schwachstelle ausgenutzt werden, solltest Du die FortiCloud-Login-Funktion (falls aktiviert) vorübergehend deaktivieren, | |||
bis ein Upgrade auf eine nicht betroffene Version durchgeführt wurde. | |||
{| class="wikitable" style="width:850px" | |||
|- style="background:#89E871" | |||
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:''' | |||
|- | |||
| | |||
Zum Deaktivieren der FortiCloud-Login-Funktion navigierst Du zu: | |||
<code> System </code>→<code> Settings </code>→<code>Allow administrative login using FortiCloud SSO</code> Option deaktivieren. | |||
[[Datei:Fortinet-3546.jpg|550px|link=]] | |||
|} | |||
{| class="wikitable" style="width:850px" | |||
|- style="background:#89E871" | |||
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:''' | |||
|- | |||
| | |||
<pre style="background-color:#252269;color: #FFFFFF"> | |||
config system global | |||
set admin-forticloud-sso-login disable | |||
end | |||
</pre> | |||
|} | |||
* https://community.fortinet.com/t5/FortiGate/Technical-Tip-Understanding-the-FortiOS-critical-vulnerability/ta-p/426944 | |||
{| class="wikitable" style="width:850px" | |||
|- | |||
| style="width:50px;background-color: #FF7730;"| <span>[[File:wichtig.svg|50px|link=]]</span> | |||
| style="background-color: #FFB991"| | |||
Beachte, die FortiCloud-SSO-Login-Funktion ist per Default deaktiviert. Registrierst Du jedoch ein Gerät über die GUI bei FortiCare, wird FortiCloud SSO nach der Registrierung '''automatisch aktiviert'''. | |||
|} | |||
---- | |||
'''Weitere Informationen findet man unter folgenden externen Artikeln:'''<br> | |||
<small> | |||
PSIRT - FortiGuard: | |||
* https://fortiguard.fortinet.com/psirt/FG-IR-25-647 <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small> | |||
CVE Informationen | |||
* https://www.cve.org/CVERecord?id=CVE-2025-59718 <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small> | |||
* https://www.cve.org/CVERecord?id=CVE-2025-59719 <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small> | |||
NIST: | |||
* https://nvd.nist.gov/vuln/detail/CVE-2025-59718 <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small> | |||
* https://nvd.nist.gov/vuln/detail/CVE-2025-59719 <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small> | |||
</small> | |||
---- | |||
<small>add 10.12.2025 - 4Tinu</small> | |||
|} | |||
---- | |||
{| class="wikitable" style="width:100%" | |||
|- | |||
| style="width:100px;background-color: #f2f79d;vertical-align:top"| <span style="color:#ffbb98">[[File:vulnerability.svg|100px|link=]]</span> | |||
| | |||
===FortiWeb - Path confusion vulnerability in GUI - CVE-2025-64446=== | |||
---- | |||
<big>'''Problembeschreibung:'''</big><br> | |||
Eine Schwachstelle zur Pfadmanipulation durch relative Pfadangaben (CWE-23) in FortiWeb kann einem nicht authentifizierten | |||
Angreifer ermöglichen, administrative Befehle auf dem System auszuführen, | |||
indem er speziell präparierte HTTP- oder HTTPS-Anfragen sendet. | |||
<big>'''Bedrohungslevel:'''</big><br> | |||
* Severity '''Critical''' | |||
* Die Bedrohung wird mit einem CVSSv3 Score von '''9.4''' eingestuft! | |||
<big>'''Betroffene Systeme:'''</big><br> | |||
* FortiWeb 8.0 OS Version '''8.0.0 bis 8.0.1''' | |||
* FortiWeb 7.6 OS Version '''7.6.0 bis 7.6.4''' | |||
* FortiWeb 7.4 OS Version '''7.4.0 bis 7.4.9''' | |||
* FortiWeb 7.2 OS Version '''7.2.0 bis 7.2.11''' | |||
* FortiWeb 7.0 OS Version '''7.0.0 bis 7.0.11''' | |||
Wenn das HTTP/HTTPS-Managementinterface gemäss Best Practices nur intern zugänglich ist, ist das Risiko einer Kompromittierung deutlich reduziert. | |||
<big>'''Lösung:'''</big></br> | |||
Auf folgende Versionen kann upgedatet werden, damit diese Sicherheitslücke geschlossen wird: | |||
* FortiWeb 8.0 upgraden auf '''8.0.2''' oder höher | |||
* FortiWeb 7.6 upgraden auf '''7.6.5''' oder höher | |||
* FortiWeb 7.4 upgraden auf '''7.4.10''' oder höher | |||
* FortiWeb 7.2 upgraden auf '''7.2.12''' oder höher | |||
* FortiWeb 7.0 upgraden auf '''7.0.12''' oder höher | |||
<big>'''Weitere Massnahmen und Workaround:'''</big></br> | |||
* Bei den externen Management Interfaces <code>HTTP</code> und <code>HTTPS</code> Management Dienst deaktivieren. | |||
* Zugriff auf bekannte und vertrauenswürdige Sourcen limitieren | |||
* Es wird empfohlen, dass Du Deine Konfiguration überprüfst und die Logs auf unerwartete Änderungen oder das | |||
Anlegen nicht autorisierter Administratorkonten kontrollierst. | |||
'''Indicators of Compromise (Stand 18.11.2025)'''</br> | |||
Bekannte Angreifer IP Adressen: | |||
<pre> | |||
107.152.41.19 | |||
144.31.1.63 | |||
89.169.55.168 | |||
185.192.70.33 | |||
185.192.70.53 | |||
185.192.70.43 | |||
185.192.70.25 | |||
185.192.70.36 | |||
185.192.70.49 | |||
185.192.70.39 | |||
185.192.70.57 | |||
185.192.70.50 | |||
185.192.70.46 | |||
185.192.70.31 | |||
64.95.13.8 | |||
</pre> | |||
<small>Siehe: [https://insights.integrity360.com/threat-advisories/threat-advisory-fortinet-fortiweb-active-exploit-nov-2025 Integrity360] <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small></small> | |||
Die Angreifer haben folgende Zugangsdaten verwendet: | |||
<pre> | |||
Testpoint - AFodIUU3Sszp5 | |||
trader1 - 3eMIXX43 | |||
trader - 3eMIXX43 | |||
test1234point - AFT3$tH4ck | |||
Testpoint - AFT3$tH4ck | |||
Testpoint - AFT3$tH4ckmet0d4yaga!n | |||
</pre> | |||
<small>Siehe: [https://thehackernews.com/2025/11/fortinet-fortiweb-flaw-actively.html Hacker News] <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small></small> | |||
---- | |||
'''Weitere Informationen findet man unter folgenden externen Artikeln:'''<br> | |||
<small> | |||
PSIRT - FortiGuard: | |||
* https://fortiguard.fortinet.com/psirt/FG-IR-25-910 <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small> | |||
* https://www.fortinet.com/blog/psirt-blogs/analysis-of-sso-abuse-on-fortios<small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small> | |||
CVE Informationen | |||
* https://www.cve.org/CVERecord?id=CVE-2025-64446 <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small> | |||
Articwolf: | |||
* https://arcticwolf.com/resources/blog/cve-2025-64446/ <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small> | |||
BSI - Deutschland: | |||
* [https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2025-2603 Warnung BSI] <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small> | |||
The Hacker News: | |||
* [https://thehackernews.com/2025/11/fortinet-fortiweb-flaw-actively.html Hacker News] <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small> | |||
</small> | |||
---- | |||
<small>edit 10.12.2025 - 4Tinu</small> | |||
|} | |||
---- | |||
{| class="wikitable" style="width:100%" | |||
|- | |||
| style="width:100px;background-color: #f2f79d;vertical-align:top"| <span style="color:#ffbb98">[[File:vulnerability.svg|100px|link=]]</span> | |||
| | |||
===Authentication bypass in Node.js websocket module - CVE-2024-55591=== | ===Authentication bypass in Node.js websocket module - CVE-2024-55591=== | ||
---- | ---- | ||
<big>'''Problembeschreibung:'''</big><br> | <big>'''Problembeschreibung:'''</big><br> | ||
| Zeile 281: | Zeile 981: | ||
---- | ---- | ||
<small>add 14.10.2024 - 4Tinu</small> | <small>add 14.10.2024 - 4Tinu</small> | ||
|} | |||
{| class="wikitable" style="width:100%" | |||
|- | |||
| style="width:100px;background-color: #f2f79d;vertical-align:top"| <span style="color:#ffbb98">[[File:vulnerability.svg|100px|link=]]</span> | |||
| | |||
=== Sicherheitsluecke Heap buffer overflow in sslvpn pre-authentication - CVE-2023-27997=== | |||
[[Datei:new.svg|40px|link=]] | |||
---- | |||
<big>'''Problembeschreibung:'''</big> <br> | |||
Eine neue kritische Sicherheitslücke, die derzeit noch nicht öffentlich bekannt ist, betrifft Fortinets Fortigate-Firewalls, genauer gesagt die SSL-VPN-Funktionen. | |||
Die Sicherheitslücke ermöglicht es auf allen FortiGate mit aktivem SSL-VPN sich ohne Authentifizierung diese Schwachstelle auszunutzen. | |||
<big>'''Bedrohungslevel:'''</big> <br> | |||
Der Schweregrad der Sicherheitslücke wird mit '''9.3''' !! eingestuft | |||
<big>'''Betroffene Systeme:'''</big><br> | |||
'''FortiOS Versionen:''' | |||
* FortiOS Version 7.2.0 bis 7.2.4 | |||
* FortiOS Version 7.0.0 bis 7.0.11 | |||
* FortiOS Version 6.4.0 bis 6.4.12 | |||
* FortiOS Version 6.0.0 bis 6.0.16 | |||
* Das FortiOS 7.4.0 ist nicht betroffen. | |||
'''FortiProxy Versionen: ''' | |||
* FortiProxy Version 7.2.0 bis 7.2.3 | |||
* FortiProxy Version 7.0.0 bis 7.0.9 | |||
* FortiProxy Version 2.0.0 bis 2.0.12 | |||
* FortiProxy 1.2 alle Versionen | |||
* FortiProxy 1.1 alle Versionen | |||
'''FortiOS-6K7K Versionen:''' | |||
* FortiOS-6K7K Version 7.0.10 | |||
* FortiOS-6K7K Version 7.0.5 | |||
* FortiOS-6K7K Version 6.4.12 | |||
* FortiOS-6K7K Version 6.4.10 | |||
* FortiOS-6K7K Version 6.4.8 | |||
* FortiOS-6K7K Version 6.4.6 | |||
* FortiOS-6K7K Version 6.4.2 | |||
* FortiOS-6K7K Version 6.2.9 bis 6.2.13 | |||
* FortiOS-6K7K Version 6.2.6 bis 6.2.7 | |||
* FortiOS-6K7K Version 6.2.4 | |||
* FortiOS-6K7K Version 6.0.12 bis 6.0.16 | |||
* FortiOS-6K7K Version 6.0.10 | |||
<small>Liste wurde von [https://www.fortiguard.com/psirt/FG-IR-23-097| hier] entnommen:</small> | |||
<big>'''Workaround:'''</big><br> | |||
Das SSL-VPN auf der FortiGate deaktivieren, bis das Gerät auf einer der unter '''Lösung''' aufgeführten FortiOS Versionen, upgedatet werden kann. | |||
<big>'''Lösung:'''</big><br> | |||
Um die Sicherheitslücke im betroffenen FortiOS zu schliessen auf einer der folgenden FortiOS Versionen updaten. | |||
'''FortiOS''' | |||
* 7.2.5 -> [https://docs.fortinet.com/document/fortigate/7.2.5/fortios-release-notes/760203/introduction-and-supported-models| ReleaseNotes 7.2.5] | |||
* 7.0.12 -> [https://docs.fortinet.com/document/fortigate/7.0.12/fortios-release-notes/760203/introduction-and-supported-models| ReleaseNotes 7.0.12] | |||
* 6.4.13 -> [https://docs.fortinet.com/document/fortigate/6.4.13/fortios-release-notes/760203/introduction-and-supported-models| ReleaseNotes 6.4.13] | |||
* 6.2.15 -> [https://docs.fortinet.com/document/fortigate/6.2.15/fortios-release-notes/760203/introduction-and-supported-models| ReleaseNotes 6.2.15] | |||
* 6.0.17 -> [https://docs.fortinet.com/document/fortigate/6.0.17/fortios-release-notes/760203/introduction| ReleaseNotes 6.0.17]<small>EoS</small> | |||
'''FortiProxy''' | |||
* FortiProxy 7.2.4 oder höher -> [https://docs.fortinet.com/document/fortiproxy/7.2.4/release-notes/146706/introduction| ReleaseNotes 7.2.4] | |||
* FortiProxy 7.0.10 oder höher -> [https://docs.fortinet.com/document/fortiproxy/7.0.10/release-notes/146706/introduction| ReleaseNotes 7.0.10] | |||
* FortiProxy 2.0.13 oder höher -> [https://docs.fortinet.com/product/fortiproxy/2.0| Momentan keine Release Notes für die 2.0.13 Version auf den Docs] | |||
'''FortiOS-6K7K''' | |||
* FortiOS-6K7K 7.0.12 oder höher -> [https://docs.fortinet.com/product/fortigate/7.0| Momentan keine Release Notes für die 7.0.12 Version auf den Docs] | |||
* FortiOS-6K7K 6.4.13 oder höher -> [https://docs.fortinet.com/product/fortigate/6.4| Momentan keine Release Notes für die 6.4.13 Version auf den Docs] | |||
* FortiOS-6K7K 6.2.15 oder höher -> [https://docs.fortinet.com/product/fortigate/6.2| Momentan keine Release Notes für die 6.2.15 Version auf den Docs] | |||
* FortiOS-6K7K 6.0.17 oder höher -> [https://docs.fortinet.com/product/fortigate/6.0| Momentan keine Release Notes für die 6.0.17 Version auf den Docs] | |||
<big>'''Weitere empfohlene Massnahmen:'''</big><br> | |||
Neben der Überwachung von Sicherheitshinweisen und dem sofortigen Patchen von Systemen empfiehlt Fortinet dringend Folgendes: | |||
* Überprüfen der Systeme auf Hinweise auf die Ausnutzung früherer Schwachstellen, z.B. FG-IR-22-377 / CVE-2022-40684 | |||
* Achte auf eine eine gute Cyber-Hygiene und befolge die Patching-Empfehlungen der Hersteller. | |||
* Befolge die Hardering Empfehlung wie solche vom FortiOS Hardening Guide | |||
** [[Datei:FortiGate-BestPractices-62.pdf]] [[File:FortiOS_62.svg|20px|link=]] <small>6.2.13</small> | |||
** [[Datei:FortiGate-BestPractices-64.pdf]] [[File:FortiOS_64.svg|20px|link=]] | |||
** [[Datei:FortiGate-BestPractices-70.pdf]] [[File:FortiOS_70.svg|20px|link=]] <small>7.0.11</small> | |||
** [[Datei:FortiGate-BestPractices-72.pdf]] [[File:FortiOS_72.svg|20px|link=]] <small>7.2.5</small> | |||
** [[Datei:FortiGate-BestPractices-74.pdf]] [[File:FortiOS_74.svg|20px|link=]] <small>7.4.0</small> | |||
** [[Datei:FortiGate-Hardening-60.pdf]] [[File:FortiOS_60.svg|20px|link=]] | |||
** [[Datei:FortiGate-Hardening-64.pdf]] [[File:FortiOS_64.svg|20px|link=]] | |||
* Minimiere die Angriffsfläche, indem ungenutzte Funktionen deaktivieren werden. (zum Beispiel das SSL-VPN) | |||
* Benutze ein Out of Band Netz für das Managen der Geräte. (Dediziertes Management Netz, welches von allen anderen Netzen abgeschotet ist) | |||
---- | |||
'''Weitere Informationen findet man unter folgenden externen Artikeln:'''<br> | |||
<small> | |||
Heise DE: | |||
* https://www.heise.de/news/Fortinet-SSL-VPN-Luecke-ermoeglicht-Codeschmuggel-9184284.html | |||
PSIRT - FortiGuard: | |||
* https://www.fortiguard.com/psirt/FG-IR-23-097 | |||
* https://www.fortinet.com/blog/psirt-blogs/analysis-of-cve-2023-27997-and-clarifications-on-volt-typhoon-campaign | |||
CVE: | |||
* https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-27997 | |||
* https://www.cve.org/CVERecord?id=CVE-2023-27997 | |||
</small> | |||
---- | |||
<small>edit 22.05.2025 - 4Tinu</small> | |||
|} | |} | ||
| Zeile 498: | Zeile 1.290: | ||
|} | |} | ||
{| class="wikitable" style="width:100%" | {| class="wikitable" style="width:100%" | ||
|- | |- | ||
| Zeile 2.148: | Zeile 1.329: | ||
Fortinet ist dieses Problem bekannt und es wird daran gearbeitet eine Lösung zu finden.<br> | Fortinet ist dieses Problem bekannt und es wird daran gearbeitet eine Lösung zu finden.<br> | ||
''Stand 3.11.2020'' | ''Stand 3.11.2020'' | ||
|} | |||
{| class="wikitable" style="width:100%" | |||
|- | |||
| style="width:100px;background-color: #f2f79d;vertical-align:top"| <span style="color:#ffbb98">[[File:achtung.svg|100px|link=]]</span> | |||
| | |||
=== FortiOS 7.6.3 SSL-VPN to IPsec VPN Migration - CSB-250416-1 === | |||
---- | |||
'''Beschreibung:'''</br> | |||
Mit der Einführung und Veröffentlichung von FortiOS 7.6.3 hat Fortinet die Unterstützung für VPNs konsolidiert, wobei bestehende SSL-VPN-Tunnelmodus-Konfigurationsoptionen nicht mehr funktionieren werden. | |||
Um ununterbrochenen Fernzugriff zu gewährleisten, musst Du Deine SSL-VPN-Tunnelmodus-Konfiguration vor dem Upgrade auf FortiOS 7.6.3 auf IPsec-VPN migrieren. | |||
Wenn Du den SSL-VPN-Webmodus verwendest, bleiben Deine bestehenden Konfigurationen nach dem Upgrade erhalten und funktional, da sie als agentenloses VPN betrieben werden. | |||
Es ist entscheidend, dass Du vor dem Upgrade auf FortiOS 7.6.3 die notwendigen Schritte unternimmst, um Deine VPN-Konfiguration anzupassen. | |||
Fortinet hat umfassende Dokumentationen und Leitfäden bereitgestellt, die Dir dabei helfen können, diesen Übergang reibungslos zu gestalten. Stelle sicher, dass Du die Kompatibilität | |||
deiner aktuellen VPN-Lösungen überprüfst und gegebenenfalls die empfohlenen Anpassungen vornimmst.</br> | |||
Zusätzlich bietet FortiOS 7.6.3 eine Reihe von Verbesserungen und neuen Funktionen, die die Leistung und Sicherheit Deines Netzwerks weiter steigern werden. | |||
Das Upgrade auf IPsec-VPN ist nicht nur eine Notwendigkeit, sondern kann auch dazu beitragen, Deine Netzwerkarchitektur zukunftssicher zu gestalten. | |||
Falls Du Unterstützung bei der Migration benötigst, steht Dir das ALSO-Team zur Verfügung, um Dich durch den Prozess zu führen und sicherzustellen, | |||
dass alle Deine Anforderungen erfüllt werden.</br> | |||
Durch eine rechtzeitige und sorgfältige Vorbereitung kannst Du sicherstellen, dass der Übergang zu FortiOS 7.6.3 ohne Unterbrechungen oder Komplikationen erfolgt. | |||
'''Betroffene Produkte:'''</br> | |||
Alle FortiGate Modelle | |||
'''Betroffenes FortiOS:'''</br> | |||
FortiOS 7.6.3 | |||
'''Dokumentation Fortinet:''' | |||
* [https://docs.fortinet.com/document/fortigate/7.6.0/new-features/155142/migration-from-ssl-vpntunnel-mode-to-ipsec-vpn-7-6-3 Migration SSL-VPN zu IPsec VPN] <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small> | |||
* [https://docs.fortinet.com/document/fortigate/7.6.3/fortios-release-notes/173430/ssl-vpn-tunnel-modeno-longer-supported ReleaseNotes FortiOS 7.6.3] <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small> | |||
* [https://support.fortinet.com/support/#/bulletin CSB-250416-1] <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small> | |||
'''Dokumentation in diesem Wiki:''' | |||
* [[FortiGate:FAQ#Wie_konfiguriere_ich_ein_Client_to_Site_IPsec_VPN_mit_IKE_Version_2%3F|Wie konfiguriere ich ein Client to Site IPsec VPN mit IKE Version 2?]] <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small> | |||
---- | |||
<small>add 01.05.2025 - 4Tinu</small> | |||
|} | |||
Aktuelle Version vom 22. Juni 2026, 13:07 Uhr
Fortigate:Support-Alerts
Vorwort
Diese Seite informiert über Aktuelle Support Informationen sogenannte "Support Bulletin" von Fortinet!
Datenschutz
*********************************************************************
* *
* THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY *
* PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING, *
* DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM *
* ALSO SCHWEIZ AG SWITZERLAND. *
* *
*********************************************************************
"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung von der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht
bekannt gemacht werden"
Nuetzliche Links
PSIRT Blog Fortinet:
- https://www.fortinet.com/blog/psirt-blogs mit Shift und Mausklick auf den Link öffnet sich ein neues Fenster
kann auch als RSS Feed gezogen werden!
Fortinet Security Vulnerability Policy
- https://www.fortiguard.com/psirt_policy mit Shift und Mausklick auf den Link öffnet sich ein neues Fenster
Häufige Fragen werden hier beantwortet:'
- https://www.fortiguard.com/faq mit Shift und Mausklick auf den Link öffnet sich ein neues Fenster
Wenn ich eine Sicherheitslücke in einem Fortinet Produkt finde, kann ich diese über folgendes Formular direkt an Fortinet melden:
- https://www.fortiguard.com/faq/psirt-contact mit Shift und Mausklick auf den Link öffnet sich ein neues Fenster
Customer Support Bulletin:
- https://support.fortinet.com/Information/Bulletin.aspx mit Shift und Mausklick auf den Link öffnet sich ein neues Fenster
kann auch als RSS Feed gezogen werden!
add 28.10.2022 - 4Tinu
Psirt
Wieso soll ich meine Fortigate Systeme immer auf einem aktuellen Software Stand haben?
Beschreibung
Ein Bedrohungsakteur hat eine bekannte Schwachstelle ausgenutzt, um Lesezugriff auf anfällige FortiGate-Geräte zu implementieren. Dies wurde durch das Erstellen eines symbolischen Links erreicht, der das Benutzerdateisystem und das Root-Dateisystem in einem Ordner verbindet, der zum Bereitstellen von Sprachdateien für das ssL-VPN verwendet wird. Diese Änderung fand im Benutzerdateisystem statt und blieb unentdeckt. Daher könnte dieser symbolische Link zurückgeblieben sein, selbst wenn das Kunden-Gerät mit FortiOS-Versionen aktualisiert wurde, die die ursprünglichen Schwachstellen behoben haben, und dem Bedrohungsakteur weiterhin Lesezugriff auf Dateien im Dateisystem des Geräts ermöglichen, zu denen möglicherweise auch Konfigurationen gehören. Wichtig ist, dass der Kunde nicht betroffen ist, wenn ssL-VPN nie aktiviert war.
Als Teil einer Untersuchung hat Fortinet Scans durchgeführt, um betroffene Geräte mithilfe interner Telemetrie und in Zusammenarbeit mit Drittorganisationen zu identifizieren. Die Daten zeigen, dass diese Bedrohungsakteur-Aktivität nicht auf eine bestimmte Region oder Branche abzielt.
Abhilfe
Nach der Entdeckung der neuen Technik, die der Bedrohungsakteur oben beschrieben verwendet hat, hat Fortinet Schritte unternommen, um dieses Problem zu mildern und unterschiedliche Ebenen der Cyber-Hygiene und Herausforderungen, denen der Kunde möglicherweise gegenübersteht, auszubalancieren. Zu den Minderungsmassnahmen von Fortinet gehören:
- Ein AV/IPS-Signatur wurde erstellt, um diesen symbolischen Link auf betroffenen Geräten zu erkennen und zu bereinigen.
- Änderungen wurden in die neuesten Releases aufgenommen, um den symbolischen Link zu erkennen und zu entfernen und sicherzustellen, dass das ssL-VPN nur die erwarteten Dateien bereitstellt.
- Proaktive Kommunikation, die Kunden zum Aktualisieren ihrer Geräte auffordert, sorgfältig ausbalanciert, um gegen weitere unbeabsichtigte Kompromittierungen zu schützen, und gleichzeitig unser Engagement für verantwortungsvolle Transparenz erfüllt.
Speziell zu den in diesem Blog beschriebenen Ergebnissen (April 2025) hat Fortinet mehrere FortiOS-Abhilfemassnahmen veröffentlicht, darunter:
- FortiOS 7.4, 7.2, 7.0, 6.4: Der symbolische Link wurde als bösartig vom AV/IPS-Engine markiert, sodass er automatisch entfernt wird, wenn die Engine lizenziert und aktiviert ist.
- FortiOS 7.6.2, 7.4.7, 7.2.11 & 7.0.17, 6.4.16: Durch das Upgrade auf diese Version wird der bösartige symbolische Link entfernt.
- FortiOS 7.6.2, 7.4.7, 7.2.11 & 7.0.17, 6.4.16: Die ssL-VPN-Benutzeroberfläche wurde modifiziert, um das Bereitstellen solcher bösartigen symbolischen Links zu verhindern.
Fortinet hat direkt mit Kunden kommuniziert, die nach den verfügbaren Telemetriedaten als von diesem Problem betroffen identifiziert wurden, und empfehlen ihnen, folgende Schritte zu unternehmen:
- Alle Geräte auf 7.6.2, 7.4.7, 7.2.11 & 7.0.17 oder 6.4.16 upgraden.
- Die Konfiguration aller Geräte überprüfen.
- Alle Konfigurationen als potenziell kompromittiert betrachten und die empfohlenen Schritte unten befolgen, um sich zu erholen:
- KB-Artikel Fortinet
Muss ich upgraden?
Es ist von entscheidender Bedeutung, dass alle Organisationen ihre Geräte auf dem neuesten Stand halten. Verschiedene Regierungsorganisationen haben berichtet, dass staatlich unterstützte Bedrohungsakteure alle Anbieter, einschliesslich bekannter, aber ungepatchter Schwachstellen, ins Visier nehmen. Im Allgemeinen ist die beste Verteidigung gegen jede bekannte Schwachstelle die Einhaltung guter Cyber-Hygiene-Praktiken, einschliesslich Upgrades.
Der 2H 2023 Global Threat Landscape Report von FortiGuard Labs hat herausgefunden, dass Bedrohungsakteure durchschnittlich 4,76 Tage nach der öffentlichen Bekanntgabe einer neuen Schwachstelle eine bekannte Schwachstelle ausnutzen. In diesem Klima haben sowohl Anbieter als auch Kunden eine Rolle zu spielen. Anbieter müssen robuste Sicherheitsprüfungen in allen Phasen des Produktentwicklungslebenszyklus einführen und sich der verantwortungsvollen Transparenz in ihren Schwachstellenmeldungen widmen. Mit mehr als 40.000 aufgezeichneten Schwachstellen im Jahr 2024 basierend auf Daten von NIST ist es auch von entscheidender Bedeutung, dass Kunden ein strenges Patch-Regime einhalten, um das Risiko einer Ausnutzung zu verringern.
In Bezug auf diesen Vorfall hat Fortinet direkt mit identifizierten betroffenen Kunden kommuniziert, die auf Basis der verfügbaren Telemetrie Massnahmen ergreifen müssen. Fortinet empfiehlt jedoch allen Kunden, unabhängig davon auf eine dieser empfohlenen Versionen zu upgraden.
Fortinet hat auch viele Änderungen integriert, um die Sicherheitsfunktionen weiter zu verbessern, die sich mit den wichtigsten Herausforderungen der Kunden befassen und für Kunden verfügbar sind, die auf die neueste Version aktualisieren, einschliesslich, aber nicht beschränkt auf:
- Zusätzliche Kompilierungszeit-Härtung, um die Angriffsbarriere auf Produkte zu erhöhen.
- Virtuelles Patchen, um Probleme vor der Patch-Verarbeitung zu mildern.
- Implementierung der Firmware-Integritätsvalidierung in Hardware (BIOS).
- Einführung der Integrity Measurement Architecture (IMA) / Filesystem Integrity.
- Automatische Updates, um Geräte nahtlos gegen Schwachstellen zu patchen, ohne dass Administratoren eingreifen müssen.
Fortinet ermutigt Kunden weiterhin, die FortiOS-Best-Practice-Ressourcen zu nutzen, einschliesslich Anleitungen zur Systemhärtung sowie Funktionen, die Kunden helfen, den Aktualisierungsprozess zu automatisieren, wie Uninterrupted Cluster Upgrade, Sub-second failover, Fail-over protection, Auto-restore configs / Configuration revisions und Automatic / Scheduled patch upgrades.
Quelle: https://www.fortinet.com/blog/psirt-blogs/analysis-of-threat-actor-activity
add 15.04.2025 - 4Tinu | Microsoft Copilot
hat mir geholfen
Vulnerabilities
Was bedeutet "FortiBleed"?
Einleitung: Ursache: Was bedeutet der „Bleed“ bei FortiBleed? Impact
Technische Einschätzung add 19.06.2026 - 4Tinu | Microsoft Copilot |
OpenSSL - CVE-2025-15467Problembeschreibung
Fortinet PSIRT untersucht derzeit die Auswirkungen dieses CVE auf die Fortinet-Produkte.
Nicht Betroffene Systeme (Stand 25.03.2026)
Weitere Informationen findet man unter folgenden externen Artikeln:
CVE Informationen
Weitere Referenzen:
edit 25.03.2026 * 4Tinu |
Administrative FortiCloud SSO authentication bypass - FG-IR-26-060
Problembeschreibung Bitte beachte, dass die FortiCloud SSO-Anmeldefunktion in den Werkseinstellungen standardmässig deaktiviert ist.
Wenn Du jedoch das Gerät über die Geräteeinstellungen bei FortiCare registrierst, wird FortiCloud SSO für die Anmeldung aktiviert,
sofern Du beim Registrierungsprozess die Option Diese Schwachstelle wurde bereits aktiv ausgenutzt:
Du musst daher auf die unten aufgeführten neuesten Versionen aktualisieren, damit FortiCloud SSO weiterhin genutzt werden kann.
Bedrohungslevel:
Betroffene Systeme: FortiAnalyzer
FortiManager
FortiGate:
FortiProxy:
FortiWeb:
FortiSwitch Manager:
Lösung: FortiAnalyzer
FortiManager
FortiGate:
FortiProxy:
FortiWeb:
Weitere Massnahmen und Workaround: Die FortiCloud SSO-Authentifizierung unterstützt keine Anmeldungen mehr von Geräten mit verwundbaren Versionen. Bei FortiOS und FortiProxy:
Beim FortiManager oder FortiAnalyzer:
Idicators of Compromise Der Angreifer wurde dabei beobachtet, sich mit den folgenden Benutzerkonten anzumelden:
Fortinet geht davon aus, dass sich diese Adressen in Zukunft ändern könnten, da Massnahmen ergriffen wurden, um diese Konten zu neutralisieren. Der Angreifer wurde beobachtet, wie er sich über mehrere IP-Adressen angemeldet hat und offenbar auf durch Cloudflare geschützte IPs gewechselt ist:
Adressen die nicht von Fortinet sondern von Drittpersonen beobachtet wurden:
Bösartige Erstellung lokaler Konten: Nach der Authentifizierung via SSO wurde beobachtet, dass der Angreifer ein lokales Administratorkonto mit einem der folgenden Namen erstellt.
Hauptoperationen des Angreifers:
Weitere Informationen findet man unter folgenden externen Artikeln:
CVE Informationen
Heise.de:
edit 30.01.2026 - 4Tinu |
Heap-based buffer overflow in cw_acd daemon - FG-IR-25-084Problembeschreibung Eine heap-basierte Pufferüberlauf-Schwachstelle [CWE-122] in FortiOS und FortiSwitchManager cw_acd Daemon kann es einem remoten, nicht authentifizierten Angreifer ermöglichen, beliebigen Code oder Befehle über speziell erstellte Anfragen auszuführen. Das Vorhandensein von Sicherheitskontrollen wie ASLR und PIE erhöht die Komplexität und den Vorbereitungsaufwand für die Ausnutzung erheblich. Bedrohungslevel:
Betroffene Systeme: FortiGate:
FortiSwitchManager:/
Lösung: FortiGate:
FortiSwitchManager:/
Weitere Massnahmen und Workaround:
Bei jedem Interface den Beispiel Konfiguration: Ausgangslage: config system interface edit "port1" set allowaccess fabric ssh https next end ändern zu: config system interface edit "port1" set allowaccess ssh https next end eine Weitere Massnahme ist es den zum CAPWAP Daemon verweigern. Für jedes interface mit dem Beispiel: config firewall service custom edit "CAPWAP-CONTROL" set udp-portrange 5246-5249 next end config firewall addrgrp edit "CAPWAP_DEVICES_IPs" set member "my_allowed_addresses" <-- IP adressen welche erlaubt sind end config firewall local-in-policy edit 1 <-- Regel welche den Zugriff erlaubt. set intf "port1" <-- Interfaces bei welchem fabric aktiviert ist set srcaddr "CAPWAP_DEVICES_IPs" set dstaddr "all" set service "CAPWAP-CONTROL" set schedule "always" set action accept next edit 2 <-- Regel welche alle anderen Interfaces blockiert mit dem set intf "any" set srcaddr "all' set dstaddr "all" set service "CAPWAP-CONTROL" set schedule "always" set action deny next end Weitere Informationen findet man unter folgenden externen Artikeln:
CVE Informationen
add 21.01.2026 - 4Tinu |
Multiple Fortinet Products FortiCloud SSO Login Authentication Bypass - CVE-2025-59718 und CVE-2025-59719
Problembeschreibung Eine Schwachstelle aufgrund unzureichender Verifizierung kryptographischer Signaturen (CWE-347) in FortiOS, FortiWeb, FortiProxy und FortiSwitchManager kann es einem nicht authentifizierten Angreifer ermöglichen, die FortiCloud-SSO-Login-Authentifizierung durch eine manipulierte SAML-Nachricht zu umgehen, sofern diese Funktion auf Deinem Gerät aktiviert ist. Bedrohungslevel:
Betroffene Systeme: FortiGate:
FortiProxy:
FortiWeb:
FortiSwitchManager:/
Lösung: FortiGate:
FortiProxy:
FortiWeb:
FortiSwitchManager:/
Weitere Massnahmen und Workaround: Um zu verhindern, dass betroffene Versionen durch diese Schwachstelle ausgenutzt werden, solltest Du die FortiCloud-Login-Funktion (falls aktiviert) vorübergehend deaktivieren, bis ein Upgrade auf eine nicht betroffene Version durchgeführt wurde.
Weitere Informationen findet man unter folgenden externen Artikeln:
CVE Informationen
NIST:
add 10.12.2025 - 4Tinu |
FortiWeb - Path confusion vulnerability in GUI - CVE-2025-64446Problembeschreibung: Bedrohungslevel:
Betroffene Systeme:
Wenn das HTTP/HTTPS-Managementinterface gemäss Best Practices nur intern zugänglich ist, ist das Risiko einer Kompromittierung deutlich reduziert. Lösung:
Weitere Massnahmen und Workaround:
Anlegen nicht autorisierter Administratorkonten kontrollierst.
Indicators of Compromise (Stand 18.11.2025) 107.152.41.19 144.31.1.63 89.169.55.168 185.192.70.33 185.192.70.53 185.192.70.43 185.192.70.25 185.192.70.36 185.192.70.49 185.192.70.39 185.192.70.57 185.192.70.50 185.192.70.46 185.192.70.31 64.95.13.8 Siehe: Integrity360 Die Angreifer haben folgende Zugangsdaten verwendet: Testpoint - AFodIUU3Sszp5 trader1 - 3eMIXX43 trader - 3eMIXX43 test1234point - AFT3$tH4ck Testpoint - AFT3$tH4ck Testpoint - AFT3$tH4ckmet0d4yaga!n Siehe: Hacker News Weitere Informationen findet man unter folgenden externen Artikeln:
CVE Informationen
Articwolf:
BSI - Deutschland:
The Hacker News:
edit 10.12.2025 - 4Tinu |
Authentication bypass in Node.js websocket module - CVE-2024-55591Problembeschreibung: Auswirkung: Bedrohungslevel:
Betroffene Systeme:
Folgende FortiOS Versionen sind nicht betroffen:
Lösung:
Weitere Massnahmen und Workaround:
Weitere Informationen findet man unter folgenden externen Artikeln:
CVE Informationen
Articwolf:
BSI - Deutschland:
edit 15.01.2025 - 4Tinu |
FortiManager Missing authentication in fgfmsd - CVE-2024-47575Problembeschreibung: FG-IR: FG-IR-24-423
Betroffene Systeme:
Lösung:
Die alten FortiAnalyzer-Modelle
mit der folgenden aktivierten Funktion (FortiManager auf FortiAnalyzer):
Ebenfalls ist mindestens ein Interface mit aktiviertem fgfm-Dienst von dieser Sicherheitslücke betroffen. Workarounds: Massnahme 1:
Massnahme 2: Alternativ kannst du dies auch über einer externen Firewall welche vor dem FortiManager platziert ist, im Regelset konfigurieren. Um eine lokale Firewallregel auf dem FortiManager zu konfigurieren, die Verbindungen von einem bekannten Subnetz, z. B. 198.18.250.0/24 (Verwaltungsnetzwerk), sowie der spezifischen IP-Adresse 10.250.17.2 (FortiGate-Gerät) zulässt, verwende folgende Regeln:
Weitere Informationen betreffend Local-In-Regeln auf dem FortiManager findet man im CLI Guide: Massnahme 3:
Weitere Informationen findet man unter folgenden externen Artikeln:
Informationen CVE-2024-47575
Informationen auf Heise.de:
Google:
add 14.10.2024 - 4Tinu |
Sicherheitsluecke Heap buffer overflow in sslvpn pre-authentication - CVE-2023-27997
Problembeschreibung: Die Sicherheitslücke ermöglicht es auf allen FortiGate mit aktivem SSL-VPN sich ohne Authentifizierung diese Schwachstelle auszunutzen. Bedrohungslevel: Betroffene Systeme:
FortiProxy Versionen:
FortiOS-6K7K Versionen:
Liste wurde von hier entnommen: Workaround: Lösung:
FortiProxy
FortiOS-6K7K
Weitere empfohlene Massnahmen:
Weitere Informationen findet man unter folgenden externen Artikeln: PSIRT - FortiGuard:
CVE:
edit 22.05.2025 - 4Tinu |
Support Alert
Was ist die Fortinet Support Bulletin Anouncing Page?
Fortinet Support Bulletin Announcing Page ist eine Seite in der Fortinet von Zeit zu Zeit wichtige Informationen zu BugFixes, Critical Bugs im Zusmmenhang mit dem Support der Fortinet Produkte lanciert:
Support Alert Meldungen
Hier findet man die Support Alert Meldungen welche wir noch ein wenig mit Hintergrund Informationen versuchen zu ergänzen:
FortiOS 7.0.4 Proxy-Modus Applikations Kontrolle - CSB-220207-1Beschreibung: Profile im Flow Modus sind davon nicht betroffen: Betroffene Produkte:
Betroffene Betriebsysteme
Workaround im 7.0.4:
Lösung:
Quelle: |
Zugriff auf Websites mit SSL-Überprüfung blockiertEs scheint ein anhaltendes Problem mit der Zertifikatskette einer Stammzertifizierungsstelle (ISRG Root X1) zu geben. Dieses Problem betrifft alle Anbieter von SSL-Inspektionsprodukten, unabhängig davon Full-Inspektion oder Zertifikats Inspektion verwendet wird.
Um dies zu valideren, ist folgender CLI-Befehl zu verwenden:
Folgend ein Beispiel einer möglichen Konfiguration:
1) Von Proxy zu Flow Inspection 2) Zwischenzeitliches Erlauben von Expired Certificates
Mehr Details zu den oberen Schritte findet man unter folgendem Link: https://kb.fortinet.com/kb/documentLink.do?externalID=FD53305 -> "Technical Tip: Expiring Let’s Encrypt Certificates"
https://www.fortinet.com/blog/psirt-blogs/fortinet-and-expiring-lets-encrypt-certificates Danke an Stefanie vom TAC Frankfurt, welche uns diese Information zugestellt hat |
FortiAP Wireless Access Point upgrade Issue with HPE PoE Switches - CSB-210127-1Wenn der Power over Ethernet (PoE)-Switch der Marke Hewlett Packard Enterprise (HPE) während eines Upgrades für mehr als 120 Sekunden keine LLDP-Antwort (Link Layer Discovery Protocol) empfängt, kann er die angeschlossenen FortiAP-Einheiten einseitig zurücksetzen oder ausschalten. Dies kann zum Anhalten des Upgrades auf halbem Weg abbricht und somit zu einem Upgrade-Fehler führen kann. Dieses Problem kann auftreten, wenn ein Upgrade versucht wird von einer beliebigen Software-Version 6.4.2 oder früher. Wenn die FortiAP-Einheit nicht mehr reagiert, wenden Sie sich bitte an den Technischen Support von Fortinet.
Falls dieses Problem auftritt und der FortiAP nicht mehr reagiert, kann man sich an den TAC Support von Fortinet wenden. (Ticket mit der Serienummer des betroffenen FortiAP eröffnen. Betroffene Produkte:
Betroffene OS Versionen:
Workaround Auf den HPE PoE-Switches müssen zuerst die LLDP-Funktion den Ports deaktivieren, auf welchem die FortiAP angeschlossen sind, welche upgegradet werden sollen. Alternativ kann man auch global die LLPD Funktion deaktivieren. gesamten Switch. Konfiguration auf dem HPE Switch:
Lösung Fortinet löst dieses Problem für FortiAP der Serie E im FortiOS FortiAP-W2 6.4.3 Build 0451 Nachdem alle betroffenen FortiAPs erfolgreich auf die Firmware Version 6.4.3 oder höher aktualisiert wurden, kann die LLDP-Funktion auf den Switches wieder aktiviert werden. Customer Support Bulletin CSB-210127-1 vom 27.Januar 2021 |
FortiGuard Webserver nicht erreichbarProblem Beschreibung: Wir haben viele Meldungen bekommen, dass wen auf FortiOS 6.4 upgegradet wird, es Probleme gibt die Webfilter Server der FortiGuard zu erreichen. Dadurch werden in den Firewall Regeln, welche einen Webfilter oder DNS Filter aktiv haben, diverse Anfragen verworfen. Dies liegt daran, dass die Anfrage einer Webseite welche Kategorie diese hat die FortiGuard Server keine Antwort senden und so diese Anfrage als unrated eingestuft wird. Je nach dem wie man jetzt den Webfilter/DNS-Filter konfiguriert hat, wird die Aktion ausgeführt, welche bei unrated konfiguriert wurde: Wenn man auf FortiOS 6.4 upgradet wird der Kommunikationsport von der FortiGuard von udp8888 oder udp53 auf tcp443 geändert. Diesen Port kann man im Webgui nicht mehr anpassen und muss über die CLI zurück auf udp 8888 oder udp 53 gesetzt werden. Workaround config system fortiguard set fortiguard-anycast disable set protocol udp set port 8888 end In gewissen Situationen musste die FortiGate neu gestartet werden, dass der Effekt eintraf.
Fortinet ist dieses Problem bekannt und es wird daran gearbeitet eine Lösung zu finden. |
FortiOS 7.6.3 SSL-VPN to IPsec VPN Migration - CSB-250416-1Beschreibung: Wenn Du den SSL-VPN-Webmodus verwendest, bleiben Deine bestehenden Konfigurationen nach dem Upgrade erhalten und funktional, da sie als agentenloses VPN betrieben werden. Es ist entscheidend, dass Du vor dem Upgrade auf FortiOS 7.6.3 die notwendigen Schritte unternimmst, um Deine VPN-Konfiguration anzupassen. Fortinet hat umfassende Dokumentationen und Leitfäden bereitgestellt, die Dir dabei helfen können, diesen Übergang reibungslos zu gestalten. Stelle sicher, dass Du die Kompatibilität
deiner aktuellen VPN-Lösungen überprüfst und gegebenenfalls die empfohlenen Anpassungen vornimmst. Falls Du Unterstützung bei der Migration benötigst, steht Dir das ALSO-Team zur Verfügung, um Dich durch den Prozess zu führen und sicherzustellen,
dass alle Deine Anforderungen erfüllt werden. Betroffene Produkte: Betroffenes FortiOS: Dokumentation Fortinet:
Dokumentation in diesem Wiki:
add 01.05.2025 - 4Tinu |