Fortinet:Support-Alerts: Unterschied zwischen den Versionen

Aus Fortinet Wiki
Zur Navigation springen Zur Suche springen
Keine Bearbeitungszusammenfassung
 
(819 dazwischenliegende Versionen von 9 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
Fortigate:Support-Alerts
Fortigate:Support-Alerts  


[[Category:Fortinet]]
[[Category:Fortinet]]
  <font size="6">'''24 X 7 <span style="color: #FF0000;">PROMOTION</span> bis 31. März 2016</font>
 
                        <font size="2">[[Fortinet:24x7Promotion|'''Weitere Informationen finden Sie hier!''']]</font>


__TOC__
__TOC__
Zeile 33: Zeile 29:
</pre>
</pre>


== CSRF Vulnerabilities ==
==Nuetzliche Links==
 
=== FortiGate Multiple CSRF (Cross-Site Request Forgery) Vulnerabilities 1. July 2013 (CVE-2013-1414) ===
 
Multiple CSRF (Cross-Site Request Forgery) vulnerabilities exist in FortiGate because GUI pages are not protected by CSRF token. It could allow remote attackers to hijack the authentication of arbitrary users under certain conditions:
 
        http://www.fortiguard.com/advisory/FGA-2013-22/
 
        '''Affected Products:'''
        FortiGates running FortiOS 4.3.12 and prior versions, FortiGates running FortiOS 5.0.2 and prior versions
 
        '''Solutions:'''
        Upgrade FortiGates to FortiOS version 4.3.13 or 5.0.3.
 
        '''References:'''
        http://packetstormsecurity.com/files/122216/Fortigate-Firewall-Cross-Site-Request-Forgery.html
 
        '''Was ist eine CSRF (Cross-Site Request Forgery):'''
        Basically an attacker could but a malicious script somewhere. If the browser used to configure FGT is running that
        script while logged-on in FOS GUI in anther windows or tab, the attackers script can control the FGT with the
        logged-on users rights in the background. Since this vulnerability can only be exploited in this certain situation,
        we suggest to NOT have any other tabs or windows open in the browser used to configure the FGT.
 
=== FortiAuthenticator Privilege Escalation Vulnerability 16. ‎Dezember ‎2013 (CVE-2013-6990)? ===
 
Am 15. Dezember 2013 hat Fortinet betreffend FortiAuthenticator eine Warnung rausgegeben (CVE-2013-6990) die folgendes umfasst:
 
        '''Impact:'''
        Authentifizierte Admin User ist es möglich Zugriff auf die Shell des Systems zu erlangen! Dadurch können diese Admin
        User System Kommandos ausführen, Zugriff auf das Filesystem erlangen und das im vollen Umfang (read/write).
 
        '''Affected Products:'''
        FortiAuthenticator 1.x and 2.x
 
        '''Solutions:'''
        Upgrade auf den FortiAuthenticator 3.0 empfohlen.
       
        '''NOTE''' Bei solch einem Upgrade ist folgendes zu berücksichtigen:
       
        [[FortiAuthenticator:FAQ#Upgrade]]
 
=== FortiWeb Stored Cross-Site Scripting Vulnerability 17. ‎Januar ‎2014 (CVE-2014-1458)? ===
 
Einem authentifizierten Administratoren ist es möglich ein "Java Injected Script" in ein spezifisches Feld auf dem Mgmt. Web Interface von Fortiweb zu speichern. Dieses "Java Injected Script" kann durch einen anderen Administrator über das spezifische Feld eingesehen werden.
 
        '''Affected Products:'''
        FortiWeb 5.0.3 oder früher.
 
        '''Solutions:'''
        Upgrade auf FortiOS 5.0.4.
 
        '''Refrences:'''
        http://www.fortiguard.com/advisory/FG-IR-14-001/
 
=== FortiGate Cross-Site Scripting Vulnerability ‎3. ‎Februar ‎2014 (CVE-2013-7182)? ===
 
FortiOS 5.0.5 und frühere Versionen enthalten ein "cross-site-scripting Vulnerability! Betroffen davon ist ein "mkey" Paramenter in der folgenden URL:
 
        /firewall/schedule/recurrdlg
 
        '''Impact:'''
        Durch diesen Vulnerability ist es möglich, dass ein unauthentifizierter Angreifer über diese URL und über den Browser des Endusers ein beliebiges Script zur Ausführung bringen kann.
 
        '''Affected Products:'''
        FortiOS 5.0.5 oder früher.
 
        '''Solutions:'''
        Upgrade auf FortiOS 5.0.6.
       
        '''NOTE''' Bei einem Upgrade von einer früheren Version von FortiOS auf 5.0.6 ist der Upgrade Path
            einzuhalten. Weitere Informationen dazu siehe folgendes Dokument:
           
            [[Datei:FortiOS-Upgradepath.pdf]] (FortiOS 5 Upgrade Matrix)
 
        '''Refrences:'''
        http://www.fortiguard.com/advisory/FG-IR-14-003/
 
=== FortiWeb Cross-Site Scripting Vulnerability  ‎3. ‎Februar ‎2014 (CVE-2013-7181)? ===
 
Fortiweb 5.0.3 und frühere Versionen enthalten ein "cross-site-scripting Vulnerability! Betroffen davon ist ein "filter" Paramenter in der folgenden URL:
 
        /user/ldap_user/add
 
        '''Impact:'''
        Durch diesen Vulnerability ist es möglich, dass ein unauthentifizierter Angreifer über diese URL und über den Browser des Endusers ein beliebiges Script zur Ausführung bringen kann.
 
        '''Affected Products:'''
        FortiWeb 5.0.3 oder früher.
 
        '''Solutions:'''
        Upgrade auf FortiOS 5.1.0.
 
        '''Refrences:'''
        http://www.fortiguard.com/advisory/FG-IR-14-002/
 
=== Fortinet "Heartbleed" OpenSSL Remote Memory Disclosure Vulnerability 8. April 2014 (CVE-2014-0160)? ===
 
In der OpenSSL Version 1.0.1 wurde ein gravierender Bug gefunden der als "Hearbleed" bekannt ist. Wir empfehlen Ihnen die nachfolgenden Informationen gut durchzulesen und die nötigen Schritte zu veranlassen:
 
        '''Impact:'''
        Beim "Heartbleed" Bug handelt es sich um einen "gravierenden" Bug in der populären "OpenSSL" cryptographic Software dh. viele Hersteller benützen
        diese Software resp. Library um Verschlüsselungs Methoden für zB SSL-VPN Portal zur Verfügung zu stellen. Dabei ist zu beachten das die OpenSSL
        Version 0.9.8 nicht von diesem Bug betroffen ist sondern die Version 1.0.1f und tiefer. Dieser Bug erlaubt unter "normalen" Umständen über SSL/TLS
        geschützte Informationen von zB WebServer, MailServer oder VPN's auszulesen (Memory). Dieser "Heartbleed" Bug erlaubt es über normalen Zugriff zB
        auf den WebServer das Memory auszulesen obwohl die Informationen über die OpenSSL Software geschützt wird. Über einen "Heartbleed" tauschen
        Kommunikationspartner Statusinformationen aus, vor allem um festzustellen, ob das Gegenüber noch aktiv ist. Durch eine fehlende Überprüfung
        eines Speicherzugriffs kann ein Angreifer dabei bis zu 64 KByte der Gegenstelle auslesen (Memory). Somit wird der Zugriff ermöglicht auf die
        "secret keys" (private) die wiederum benutzt werden um die Informationen zu Verschlüsseln. Dies wiederum ermöglicht die Informationen durch
        diese "secret keys" zu entschlüsseln und so an geschützte Informationen zu gelangen wie Passwörter etc. und somit können diese vom Server
        entwendet werden. Tests haben gezeigt, dass durch diesen Angriff "secret keys" entwendet werden können und dadurch an geschützte Informationen
        zu kommen die unter normalen Umständen durch diese "secret keys" geschützt werden.
 
        '''Affected Products:'''
        OpenSSL 1.0.1, 1.0.1:beta1/2/3 1.0.1a 1.0.1b 1.0.1c 1.0.1d 1.0.1e 1.0.1f (0.9.8x as 1.0.0x not affected)
        FortiGate (FortiOS) 5.0.0 bis 5.0.6
        FortiClient 5.x
        FortiAuthenticator 3.x
        FortiMail 4.3.x and 5.x
        FortiVoice models 200D, 200D-T und VM
        FortiRecorder
        FortiADC D-Series models 1500D, 2000D und 4000D
        FortiADC E-Series 3.x
        Coyote Point Equalizer GX / LX 10.x
        FortiDDoS 4.x
        FortiDNS
        AscenLink v6.5 and 7.0


        '''References:'''
'''PSIRT Blog Fortinet:'''
        http://heartbleed.com/
* https://www.fortinet.com/blog/psirt-blogs  <small>''mit Shift und Mausklick auf den Link öffnet sich ein neues Fenster''</small>
        http://www.fortiguard.com/advisory/FG-IR-14-011/
kann auch als RSS Feed gezogen werden!
        http://www.us-cert.gov/ncas/alerts/TA14-098A 
* https://feeds.fortinet.com/fortinet/blog/ciso-collective&x=1
'''Fortinet Security Vulnerability Policy'''
* https://www.fortiguard.com/psirt_policy <small>''mit Shift und Mausklick auf den Link öffnet sich ein neues Fenster''</small>
'''Häufige Fragen werden hier beantwortet:''''
* https://www.fortiguard.com/faq <small>''mit Shift und Mausklick auf den Link öffnet sich ein neues Fenster''</small>
'''Wenn ich eine Sicherheitslücke in einem Fortinet Produkt finde, kann ich diese über folgendes Formular direkt an Fortinet melden:'''
* https://www.fortiguard.com/faq/psirt-contact <small>''mit Shift und Mausklick auf den Link öffnet sich ein neues Fenster''</small>
'''Customer Support Bulletin:'''
* https://support.fortinet.com/Information/Bulletin.aspx <small>''mit Shift und Mausklick auf den Link öffnet sich ein neues Fenster''</small>
kann auch als RSS Feed gezogen werden!
* https://support.fortinet.com/rss/csb.xml
----
<small>add 28.10.2022 - 4Tinu</small>


        '''Solutions:'''
== Psirt ==
        Fortinet wird für FortiGate's am 9. April 2014 01:00 eine neue FirmWare/Image zur Verfügung stellen!
=== Wieso soll ich meine Fortigate Systeme immer auf einem aktuellen Software Stand haben? ===
        Für FortiAuthenticator sowie FortiMail wird eine neue Firmware/Image am 11. April 2014 released.


        '''Workarounds:'''
'''Beschreibung'''<br>
        Die betroffenen MailServer, WebServer etc. können über die IPS (Intrusion Prevention System) geschützt werden und zwar über eine
Ein Bedrohungsakteur hat eine bekannte Schwachstelle ausgenutzt, um Lesezugriff auf anfällige FortiGate-Geräte zu implementieren. Dies wurde durch das Erstellen eines symbolischen Links erreicht, der das Benutzerdateisystem und das Root-Dateisystem in einem Ordner verbindet, der zum Bereitstellen von Sprachdateien für das ssL-VPN verwendet wird. Diese Änderung fand im Benutzerdateisystem statt und blieb unentdeckt. Daher könnte dieser symbolische Link zurückgeblieben sein, selbst wenn das Kunden-Gerät mit FortiOS-Versionen aktualisiert wurde, die die ursprünglichen Schwachstellen behoben haben, und dem Bedrohungsakteur weiterhin Lesezugriff auf Dateien im Dateisystem des Geräts ermöglichen, zu denen möglicherweise auch Konfigurationen gehören. Wichtig ist, dass der Kunde nicht betroffen ist, wenn ssL-VPN nie aktiviert war.
        Custom Signature die folgendermassen aussieht:
Als Teil einer Untersuchung hat Fortinet Scans durchgeführt, um betroffene Geräte mithilfe interner Telemetrie und in Zusammenarbeit mit Drittorganisationen zu identifizieren. Die Daten zeigen, dass diese Bedrohungsakteur-Aktivität nicht auf eine bestimmte Region oder Branche abzielt.</br>
       
'''Abhilfe'''<br>
        '''NOTE''' Die IPS Signature muss nicht mehr manuell erstellt werden, da diese mit der IPS Signaure Release Update 4.476 nun
Nach der Entdeckung der neuen Technik, die der Bedrohungsakteur oben beschrieben verwendet hat, hat Fortinet Schritte unternommen, um dieses Problem zu mildern und unterschiedliche Ebenen der Cyber-Hygiene und Herausforderungen, denen der Kunde möglicherweise gegenübersteht, auszubalancieren. Zu den Minderungsmassnahmen von Fortinet gehören:
            auf der FortiGate zur Verfügung steht. Dies ist jedoch nur der Fall wenn der Device über einen aktiven FortiGuard
* Ein AV/IPS-Signatur wurde erstellt, um diesen symbolischen Link auf betroffenen Geräten zu erkennen und zu bereinigen.
            Maitenance Vertrag verfügt. Die IPS Signature in diesem besagten Update mit folgenden Namen zur Verfügung:
* Änderungen wurden in die neuesten Releases aufgenommen, um den symbolischen Link zu erkennen und zu entfernen und sicherzustellen, dass das ssL-VPN nur die erwarteten Dateien bereitstellt.
           
* Proaktive Kommunikation, die Kunden zum Aktualisieren ihrer Geräte auffordert, sorgfältig ausbalanciert, um gegen weitere unbeabsichtigte Kompromittierungen zu schützen, und gleichzeitig unser Engagement für verantwortungsvolle Transparenz erfüllt.
            "OpenSSL.TLS.Heartbeat.Information.Disclosure"
Speziell zu den in diesem Blog beschriebenen Ergebnissen (April 2025) hat Fortinet mehrere FortiOS-Abhilfemassnahmen veröffentlicht, darunter:
       
* FortiOS 7.4, 7.2, 7.0, 6.4: Der symbolische Link wurde als bösartig vom AV/IPS-Engine markiert, sodass er automatisch entfernt wird, wenn die Engine lizenziert und aktiviert ist.
        # config ips custom
* FortiOS 7.6.2, 7.4.7, 7.2.11 & 7.0.17, 6.4.16: Durch das Upgrade auf diese Version wird der bösartige symbolische Link entfernt.
        # edit "OpenSSL.TLS.Heartbeat.Information.Disclosure-custom.All"
* FortiOS 7.6.2, 7.4.7, 7.2.11 & 7.0.17, 6.4.16: Die ssL-VPN-Benutzeroberfläche wurde modifiziert, um das Bereitstellen solcher bösartigen symbolischen Links zu verhindern.
        # set action block
Fortinet hat direkt mit Kunden kommuniziert, die nach den verfügbaren Telemetriedaten als von diesem Problem betroffen identifiziert wurden, und empfehlen ihnen, folgende Schritte zu unternehmen:
        # set comment ''
* Alle Geräte auf 7.6.2, 7.4.7, 7.2.11 & 7.0.17 oder 6.4.16 upgraden.
        # set signature "F-SBID( --attack_id 4982 \
* Die Konfiguration aller Geräte überprüfen.
        # --name \"OpenSSL.TLS.Heartbeat.Information.Disclosure-custom.All\"; \
* Alle Konfigurationen als potenziell kompromittiert betrachten und die empfohlenen Schritte unten befolgen, um sich zu erholen:
        # --protocol tcp; --src_port 443; --flow from_server,reversed; \
* [https://community.fortinet.com/t5/FortiGate/Technical-Tip-Recommended-steps-to-execute-in-case-of-a/ta-p/230694 KB-Artikel Fortinet]
        # --pattern \"|18 03|\"; --context packet; --within 2,context; \
'''Muss ich upgraden?'''<br>
        # --byte_test 2,>,100,1,relative;  )"
Es ist von entscheidender Bedeutung, dass alle Organisationen ihre Geräte auf dem neuesten Stand halten. Verschiedene Regierungsorganisationen haben berichtet, dass staatlich unterstützte Bedrohungsakteure alle Anbieter, einschliesslich bekannter, aber ungepatchter Schwachstellen, ins Visier nehmen. Im Allgemeinen ist die beste Verteidigung gegen jede bekannte Schwachstelle die Einhaltung guter Cyber-Hygiene-Praktiken, einschliesslich Upgrades.
        # next
Der 2H 2023 Global Threat Landscape Report von FortiGuard Labs hat herausgefunden, dass Bedrohungsakteure durchschnittlich 4,76 Tage nach der öffentlichen Bekanntgabe einer neuen Schwachstelle eine bekannte Schwachstelle ausnutzen. In diesem Klima haben sowohl Anbieter als auch Kunden eine Rolle zu spielen. Anbieter müssen robuste Sicherheitsprüfungen in allen Phasen des Produktentwicklungslebenszyklus einführen und sich der verantwortungsvollen Transparenz in ihren Schwachstellenmeldungen widmen. Mit mehr als 40.000 aufgezeichneten Schwachstellen im Jahr 2024 basierend auf Daten von NIST ist es auch von entscheidender Bedeutung, dass Kunden ein strenges Patch-Regime einhalten, um das Risiko einer Ausnutzung zu verringern.
        # end
In Bezug auf diesen Vorfall hat Fortinet direkt mit identifizierten betroffenen Kunden kommuniziert, die auf Basis der verfügbaren Telemetrie Massnahmen ergreifen müssen. Fortinet empfiehlt jedoch allen Kunden, unabhängig davon auf eine dieser empfohlenen Versionen zu upgraden.
       
Fortinet hat auch viele Änderungen integriert, um die Sicherheitsfunktionen weiter zu verbessern, die sich mit den wichtigsten Herausforderungen der Kunden befassen und für Kunden verfügbar sind, die auf die neueste Version aktualisieren, einschliesslich, aber nicht beschränkt auf:
        Diese Custome Signature muss nachträglich im entsprechenden IPS Profile eingebunden werden:
* Zusätzliche Kompilierungszeit-Härtung, um die Angriffsbarriere auf Produkte zu erhöhen.
       
* Virtuelles Patchen, um Probleme vor der Patch-Verarbeitung zu mildern.
        # config ips sensor
* Implementierung der Firmware-Integritätsvalidierung in Hardware (BIOS).
        # edit "ssl.heartbleed"
* Einführung der Integrity Measurement Architecture (IMA) / Filesystem Integrity.
        # config entries
* Automatische Updates, um Geräte nahtlos gegen Schwachstellen zu patchen, ohne dass Administratoren eingreifen müssen.
        # edit 1
Fortinet ermutigt Kunden weiterhin, die FortiOS-Best-Practice-Ressourcen zu nutzen, einschliesslich Anleitungen zur Systemhärtung sowie Funktionen, die Kunden helfen, den Aktualisierungsprozess zu automatisieren, wie Uninterrupted Cluster Upgrade, Sub-second failover, Fail-over protection, Auto-restore configs / Configuration revisions und Automatic / Scheduled patch upgrades.
        # set action reset
        # set rule 4982
        # set status enable
        # next
        # end
        # next
        # end
       
        Danach muss der entsprechenden IPS Sensor zur entsprechenden Policy hinzugefügt werden:
       
        # config firewall interface-policy
        # edit 0
        # set interface "wan1"
        # set srcaddr "all"
        # set dstaddr "all"
        # set service "HTTPS"
        # set ips-sensor-status enable
        # set ips-sensor "ssl.heartbleed"
        # next
        # end


        '''Hinweis:'''
<small>''Quelle: https://www.fortinet.com/blog/psirt-blogs/analysis-of-threat-actor-activity''</small>
        Es muss berücksichtigt werden, dass auf einem WebServer, MailServer usw. bereits ein "Heartbleed" durchgeführt wurde und somit
----
        die "secret key" Informationen ausgelesen wurden. In so einem Fall muss nach dem "Patchen" des System das "Private Certificate"
<small>add 15.04.2025 - 4Tinu <nowiki>|</nowiki>'' [https://cloud.also.mp/de/de/microsoft-copilot-trainings/ Microsoft Copilot] [[File:copilot-icon.png|20px|link=https://cloud.also.mp/de/de/microsoft-copilot-trainings/]] hat mir geholfen''</small>
        erneuert werden und event. darauf basierenden "Public Certificates" neu verteilt werden.


Offizielle Informationen betreffend diesem Cert findet man im offiziellen Customer Support Bulleting der Fortinet:
== Vulnerabilities ==
{| class="wikitable" style="width:100%"
|-
| style="width:100px;background-color: #f2f79d;vertical-align:top"| <span style="color:#ffbb98">[[File:vulnerability.svg|100px|link=]]</span>
|
===Was bedeutet "FortiBleed"?===
[[Datei:new.svg|40px|link=]]
----
<big>'''Einleitung:'''</big></br>
FortiBleed beschreibt eine gross angelegte Credential-Exposure- und Exploitation-Kampagne gegen internetexponierte Fortinet FortiGate Firewalls
und SSL-VPN-Gateways. Laut öffentlicher Berichterstattung wurden über 73'000 eindeutige Fortinet-Firewall-URLs in 194 Ländern mit kompromittierten
oder validierten Zugangsdaten in Verbindung gebracht. Die Kampagne zeigt deutlich, dass nicht nur klassische Schwachstellen,
sondern auch wiederverwendete, geleakte oder unzureichend geschützte Zugangsdaten ein kritisches Risiko für Perimeter-Systeme darstellen.


        [[Fortinet:Support-Alerts#Fortinet_Information_Disclosure_Vulnerability_in_OpenSSL.3F]]
<big>'''Ursache:'''</big></br>
Die Ursache von FortiBleed liegt nach aktuellem Kenntnisstand nicht in einer bestätigten einzelnen Zero-Day-Schwachstelle oder einem eindeutig
zugeordneten CVE. Vielmehr handelt es sich um eine Kombination aus internetweit erreichbaren Fortinet-Instanzen, historischen Credential-Leaks,
Credential-Stuffing, Brute-Force-Aktivitäten und potenziell bereits kompromittierten Zugangsdaten. Angreifer haben automatisiert nach exponierten
FortiGate- und SSL-VPN-Systemen gesucht und diese gegen grosse Sammlungen bekannter Benutzernamen und Passwörter getestet.
Besonders kritisch ist, dass auch komplexe Passwörter betroffen sein können, wenn sie bereits durch Infostealer-Malware, frühere Datenabflüsse oder
unsichere Wiederverwendung in Klartextdatenbanken vorhanden waren. Die eigentliche Schwachstelle ist daher häufig nicht die Passwortlänge, sondern
die fehlende Kontrolle über die Herkunft, Wiederverwendung und Absicherung von Credentials auf sicherheitskritischen Edge-Systemen.


=== Fortinet Multiple Vulnerabilities in OpenSSL Vulnerability 6 June 2014 (CVE-2014-0224, CVE-2014-0221, CVE-2014-0195)? ===
<big>'''Was bedeutet der „Bleed“ bei FortiBleed?'''</big></br>
Der Begriff ''Bleed'' beschreibt in diesem Kontext das fortlaufende Abfliessen von Zugangsdaten und Authentifizierungsinformationen aus
kompromittierten Umgebungen. Sobald Angreifer Zugriff auf ein Fortinet-Gateway erhalten, kann das System als Beobachtungspunkt an der Netzwerkgrenze
missbraucht werden. Darüber lassen sich weitere Anmeldeinformationen aus VPN-, Verwaltungs- oder nachgelagerten Netzwerkverbindungen identifizieren,
sammeln und erneut für weitere Angriffe verwenden.</br>
Dieser Prozess ist besonders gefährlich, weil er sich selbst verstärken kann: Bereits bekannte Zugangsdaten ermöglichen den ersten Zugriff, der Zugriff
ermöglicht die Sammlung weiterer Credentials, und diese neuen Credentials werden anschliessend wieder für zusätzliche Systeme getestet.
Dadurch entsteht ein automatisierter Kreislauf, der über eine einzelne Firewall hinausgehen und sich bis in interne Verzeichnisdienste wie
Active Directory ausweiten kann.


Die OpenSSL Verantwortlichen haben folgenden Advisory herausgegeben die folgende Vulnerability beschreiben:
<big>'''Impact'''</big></br>
Der Impact ist hoch, weil FortiGate-Firewalls und SSL-VPN-Gateways typischerweise direkt am Netzwerkperimeter betrieben werden.
Ein erfolgreicher Zugriff kann Angreifern ermöglichen, administrative Schnittstellen zu missbrauchen, VPN-Zugänge zu verwenden,
Traffic zu beobachten, zusätzliche Zugangsdaten zu erbeuten und sich lateral in interne Netzwerke zu bewegen. Besonders kritisch ist dies für
Organisationen mit exponierten Management-Interfaces, fehlender Multi-Faktor-Authentifizierung oder unzureichender Protokollüberwachung.</br>
Ein weiterer Risikofaktor ist die mögliche Persistenz. Selbst wenn ein Passwort später geändert oder eine bekannte Schwachstelle gepatcht wird,
können Angreifer bereits zusätzliche Konten, Tokens, Konfigurationen oder interne Zugangspfade gesammelt haben. Deshalb reicht eine reine
Passwortänderung in vielen Fällen nicht aus. Du musst davon ausgehen, dass ein kompromittierter Perimeter-Zugang eine vollständige
Incident-Response-Prüfung erfordert.</br>
<big>'''Empfohlene Massnahmen'''</big></br>
* Prüfe alle internetexponierten FortiGate- und SSL-VPN-Systeme auf verdächtige Login-Versuche, ungewöhnliche Admin-Aktivitäten und unbekannte VPN-Sessions.
* Erzwinge umgehend eine Rotation aller lokalen, administrativen und VPN-bezogenen Zugangsdaten auf betroffenen oder potenziell exponierten Systemen.
* Aktiviere Multi-Faktor-Authentifizierung konsequent für VPN-Zugänge, Administrator-Konten und privilegierte Benutzer.
* Beschränke Management-Zugriffe auf dedizierte Admin-Netze, vertrauenswürdige IP-Adressen oder sichere Out-of-Band-Zugänge.
* Deaktiviere unnötige öffentliche Verwaltungsoberflächen und stelle sicher, dass nur zwingend benötigte Services aus dem Internet erreichbar sind.
* Aktualisiere FortiOS, FortiGate- und SSL-VPN-Komponenten auf die vom Hersteller empfohlenen Versionen und prüfe zusätzlich alle relevanten Fortinet Security Advisories.
* Analysiere FortiGate-Konfigurationen auf unbekannte Admin-Konten, manipulierte Policies, verdächtige VPN-Profile und unautorisierte Änderungen.
* Überprüfe Active Directory, RADIUS, LDAP und andere angebundene Authentifizierungssysteme auf verdächtige Anmeldeereignisse und laterale Bewegungen.
* Setze Credential-Hygiene durch: keine Passwortwiederverwendung, regelmässige Überprüfung gegen bekannte Leaks und strikte Trennung von Service-, Admin- und Benutzerkonten.
* Führe bei Verdacht auf Kompromittierung eine vollständige Incident-Response-Analyse durch, inklusive Log-Sicherung, forensischer Prüfung und Bewertung möglicher Datenexfiltration.
<big>'''Technische Einschätzung'''</big></br>
FortiBleed sollte nicht als isolierter Produktfehler betrachtet werden, sondern als Warnsignal für den Schutz von Edge-Infrastrukturen.
Du solltest Fortinet-Systeme am Perimeter wie kritische Identitäts- und Zugriffskomponenten behandeln. Entscheidend sind starke Authentifizierung,
eingeschränkte Erreichbarkeit, konsequentes Patching, saubere Credential-Prozesse und ein Monitoring, das nicht nur Schwachstellen,
sondern auch missbräuchliche Nutzung gültiger Zugangsdaten erkennt.
----
<small>add 19.06.2026 - 4Tinu <nowiki>|</nowiki>'' [https://cloud.also.mp/de/de/microsoft-copilot-trainings/ Microsoft Copilot] [[File:copilot-icon.png|20px|link=https://cloud.also.mp/de/de/microsoft-copilot-trainings/]] hat mir geholfen''</small>
|}
----
{| class="wikitable" style="width:100%"
|-
| style="width:100px;background-color: #f2f79d;vertical-align:top"| <span style="color:#ffbb98">[[File:vulnerability.svg|100px|link=]]</span>
|


        https://www.openssl.org/news/secadv_20140605.txt
===OpenSSL - CVE-2025-15467===
       
----
        SSL/TLS MITM vulnerability (CVE-2014-0224)
<Big>'''Problembeschreibung'''</big></br>
        DTLS recursion flaw (CVE-2014-0221)
Das Parsen einer CMS AuthEnvelopedData-Nachricht mit absichtlich manipulierten AEAD-Parametern kann einen Stack-Buffer-Overflow auslösen.
        DTLS invalid fragment vulnerability (CVE-2014-0195)
Ein Stack-Buffer-Overflow kann zu einem Absturz führen, was wiederum einen Denial-of-Service (DoS) verursacht oder potenziell sogar eine
        SSL_MODE_RELEASE_BUFFERS session injection or denial of service (CVE-2010-5298)
Remotecodeausführung ermöglicht. Beim Parsen von CMS AuthEnvelopedData-Strukturen, die AEAD-Verschlüsselungen wie AES-GCM verwenden,
        Anonymous ECDH denial of service (CVE-2014-3470)
wird der im ASN.1-Parameter kodierte IV (Initialisierungsvektor) in einen Stack-Puffer fester Grösse kopiert, ohne zu überprüfen, ob dessen Länge in das Ziel passt.
Ein Angreifer kann eine speziell präparierte CMS-Nachricht mit einem zu grossen IV bereitstellen, was zu einem Stack-basierten Schreibzugriff ausserhalb
der vorgesehenen Grenzen führt, noch bevor eine Authentifizierung oder Tag-Prüfung stattfindet. Anwendungen und Dienste, die nicht
vertrauenswürdige CMS* oder PKCS#7-Inhalte mit AEAD-Verschlüsselungen (z. B. S/MIME AuthEnvelopedData mit AES-GCM) verarbeiten, sind gefährdet.
Da der Overflow vor der Authentifizierung auftritt, ist kein gültiges Schlüsselmaterial erforderlich, um ihn auszulösen.
Die Ausnutzbarkeit zur Remotecodeausführung hängt zwar von Plattform* und Toolchain-Schutzmechanismen ab, aber der Stack-basierte Schreibzugriff stellt ein erhebliches Risiko dar.
Die FIPS-Module in den Versionen 3.6, 3.5, 3.4, 3.3 und 3.0 sind von diesem Problem nicht betroffen,
da die CMS-Implementierung ausserhalb des OpenssL-FIPS-Moduls liegt.
* OpenssL 3.6, 3.5, 3.4, 3.3 und 3.0 sind jedoch anfällig für dieses Problem.
* OpenssL 1.1.1 und 1.0.2 sind davon nicht betroffen.
Fortinet PSIRT untersucht derzeit die Auswirkungen dieses CVE auf die Fortinet-Produkte.</br>
betroffen.. </br>
<Big>'''Bedrohungslevel:'''</big>
* Severity : Critical
* Die Bedrohung wird mit einem CVssv3 Score von '''9.8''' eingestuft!
'''Nicht Betroffene Systeme (Stand 25.03.2026)'''
* FortiAP
* FortiWeb
* FortiVoice
* FortiTester
* FortiSwitch
* FortiSandbox
* FortiSOAR
* FortiSIEM
* FortiRecorder
* FortiPortal
* FortiOS
* FortiNAC-F
* FortiNAC
* FortiManager
* FortiMail
* FortiExtender
* FortiDDoS
* FortiConverter
* FortiCloud
* FortiClient Windows
* FortiClient MacOS
* FortiClient Linux
* FortiAuthenticator
* FortiAnalyzer
* FortiAP-W2
* FortiAP-U  
* FortiClient iOS
* FortiClient Android
* FortiClient EMS
* FortiWebManager
* FortiADC
* FortiADC Manager
* FortiProxy
----
'''Weitere Informationen findet man unter folgenden externen Artikeln:'''<br>
<small>
PSIRT FortiGuard:
* https://fortiguard.fortinet.com/psirt/FG-IR-26-076 <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small>
CVE Informationen 
* https://www.cve.org/CVERecord?id=CVE-2025-15467<small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small>
Weitere Referenzen:
* https://www.openwall.com/lists/oss-security/2026/01/27/10 <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small>
* https://nvd.nist.gov/vuln/detail/CVE-2025-15467 <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small>
</small>
----
<small>edit 25.03.2026 * 4Tinu</small>
|}
----
{| class="wikitable" style="width:100%"
|-
| style="width:100px;background-color: #f2f79d;vertical-align:top"| <span style="color:#ffbb98">[[File:vulnerability.svg|100px|link=]]</span>
|


        '''Impact'''
===Administrative FortiCloud SSO authentication bypass - FG-IR-26-060===
        CVE-2014-0224 Erlaubt einem Angreifer in einem Network anhand einer "man-in-the-middle" Attacke die SSL Komunikation zu entschlüsseln.
[[Datei:new.svg|40px|link=]]
        CVE-2014-0221 Erlaubt es einem Angreifer einem DTLS Client anhand eines falschen "handshakes" ein "crash" auszulösen.
----
        CVE-2014-0195 Erlaubt eine "buffer overrun attack" wenn falsche DTLS fragmente zu einem DTLS Client oder Server gesendet werden
<Big>'''Problembeschreibung'''</big></br>
        CVE-2014-0198 und CVE-2010-5298 Erlaubt eine "denial of service" Attacke unter bestimmten Umständen dh. wenn "SSL_MODE_RELEASE_BUFFERS" aktiviert ist.
Eine Schwachstelle vom Typ „Authentication Bypass Using an Alternate Path or Channel“ [CWE-288] in FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb kann es einem Angreifer mit einem
        CVE-2014-3470 Erlaubt einem Angreifer einen "denial of service" Attacke zu "trigger" (in SSL Clients) wenn "anonymous ECDH ciphersuites" aktiviert ist.
FortiCloud-Konto und einem registrierten Gerät ermöglichen, sich an anderen Geräten anzumelden, die bei anderen Konten registriert sind,
        CVE-2014-0076 Kann genutzt werden um "ECDSA nonces on multi-user systems" herauszufinden indem "timing attacks in CPU L3 caches" ausgeführt werden.
sofern auf diesen Geräten die FortiCloud SSO-Authentifizierung aktiviert ist.
       
        '''NOTE''' Von "CVE-2014-3470 und CVE-2014-0076" sind die Fortinet Produkte nicht betroffen


        '''Affected Products'''
Bitte beachte, dass die FortiCloud SSO-Anmeldefunktion in den Werkseinstellungen standardmässig deaktiviert ist.
        FortiOS, FortiClient, FortiSwitch, FortiAnalyzer, FortiManager, FortiMail, FortiAP, FortiVoiceOS,
Wenn Du jedoch das Gerät über die Geräteeinstellungen bei FortiCare registrierst, wird FortiCloud SSO für die Anmeldung aktiviert,  
        FortiWeb, FortiAuthenticator, FortiDNS, FortiDDoS, FortiCache, FortiRecorder, FortiSandbox,
sofern Du beim Registrierungsprozess die Option <code>Allow administrative login using FortiCloud SSO</code> nicht deaktivierst.
        FortiADC, FortiADC-E, Equalizer LX/GX, AscenLink


        '''Risk'''
Diese Schwachstelle wurde bereits aktiv ausgenutzt: </br>
        - FortiOS 4.x und 5.x sind betroffen bei CVE-2014-0224 und CVE-2014-0195 (betreffend CAPWAP Service).  
* Zwei böswillige FortiCloud-Konten wurden dabei am 22.01.2026 gesperrt.  
        - Zusätzlich in FortiOS 5.x SSL VPN und HTTPS Administration sind betroffen betreffend CVE-2014-0198 und CVE-2010-5298.
* Um weiteren Missbrauch zu verhindern, hat Fortinet am 26.01.2026 die FortiCloud SSO-Funktion serverseitig deaktiviert.  
        - FortiAP's sind betroffen bei CVE-2014-0224, CVE-2014-0221 und CVE-2014-0195.
* Am 27.01.2026 wurde sie wieder aktiviert, unterstützt jedoch keine Anmeldungen mehr von Geräten mit verwundbaren Versionen.  
        - Alle anderen Produkte die unter "Affected Products" aufgeführt sind, sind durch CVE-2014-0224 betroffen.
Du musst daher auf die unten aufgeführten neuesten Versionen aktualisieren, damit FortiCloud SSO weiterhin genutzt werden kann.
* FortiManager Cloud, FortiAnalyzer Cloud und FortiGate Cloud sind nicht betroffen.
* Setups mit einem eigenen IdP für SSO statt FortiCloud sind '''nicht betroffen''' (einschliesslich Setups mit FortiAuthenticator als Custom IdP).


        '''Workarounds:'''
<Big>'''Bedrohungslevel:'''</big>
        FortiGuard hat eine IPS Signature "released" unter dem Namen "OpenSSL.ChangeCipherSpec.Injection" welche einen Schutz gegen CVE-2014-0224 bietet.
* Severity : Critical
        Auf FortiGate's auf denen keine FortiAP's benützt resp. über CAPWAP verwaltet werden sollte das CAPWAP Protokoll komplett deaktiviert werden um
* Die Bedrohung wird mit einem CVSSv3 Score von '''9.4''' eingestuft!
        dem Vulnerability CVE-2014-0195 entgegenzutreten. Wenn keine FortiAP's benützt/verwaltet werden, kann der Wireless Controller der über CAPWAP die
<Big>'''Betroffene Systeme:'''</big>
        FortiAP's verwaltet komplett deaktiviert werden:
       
        # config system global
        # set wireless-controller [enable / disable]
        # end


        '''Firmware Updates'''
'''FortiAnalyzer'''
        Fortinet setzt alles daran Software Fixes gegen diese Vulnerabilities so schnell wie möglich zu releasen!
* FortiAnalyzer 7.6 : 7.6.0 - 7.6.5
* FortiAnalyzer 7.4 : 7.4.0 - 7.4.9
* FortiAnalyzer 7.2 : 7.2.0 - 7.2.11
* FortiAnalyzer 7.0 : 7.0.0 - 7.0.15
* FortiAnalyzer 6.4 : 6.4.x ist nicht betroffen


Nachfolgend der offizielle Link zur Fortinet Vulnerability Advisory:
'''FortiManager'''
* FortiManager 7.6 : 7.6.0 - 7.6.5
* FortiManager 7.4 : 7.4.0 - 7.4.9
* FortiManager 7.2 : 7.2.0 - 7.2.11
* FortiManager 7.0 : 7.0.0 - 7.0.15
* FortiManager 6.4 : 6.4.x ist nicht betroffen


        http://www.fortiguard.com/advisory/FG-IR-14-018/
'''FortiGate:'''
* FortiOS 8.0 : 8.0.x ist nicht betroffen
* FortiOS 7.6 : 7.6.0 - 7.6.5
* FortiOS 7.4 : 7.4.0 - 7.4.10
* FortiOS 7.2 : 7.2.0 - 7.2.12
* FortiOS 7.0 : 7.0.0 - 7.0.18
* FortiOS 6.4 : 6.4.x ist nicht betroffen


'''FortiProxy:'''
* FortiProxy 7.6 : 7.6.0 - 7.6.4
* FortiProxy 7.4 : 7.4.0 - 7.4.12
* FortiProxy 7.2 : 7.2.x Alle Versionen
* FortiProxy 7.0 : 7.0.x Alle Versionen


'''FortiWeb:'''
* FortiWeb 8.0 : 8.0.0 - 8.0.3
* FortiWeb 7.6 : 7.6.0 - 7.6.6
* FortiWeb 7.4 : 7.4.0 - 7.6.6
* FortiWeb 7.2 : 7.2.x ist nicht betroffen
* FortiWeb 7.0 : 7.0.x ist nicht betroffen


=== FortiGate Vulnerabilities in FortiManager Service (CVE-2014-0351, CVE-2014-0352)? ===
'''FortiSwitch Manager:'''
 
* Dieses Produkt wird noch untersucht ob es auch betroffen ist.
      '''Impact:'''
      Ueber einen speziellen "denial of service" Angriff mit speziellen Anfragen zum FortiManager (TCP 541) Service kann
      ein unerlaubter Code ausgeführt werden. Die Ausführung des Codes konnte nicht nachgewiesen werden ist jedoch unter
      bestimmten Umständen möglich (CVE-2014-0352). Zusätzlich ist es möglich einen "man-in-the-middle" Angriff für das
      Service Protokoll des FortiManagers (TCP 541) durchzuführen indem ein "anonymous cipher suite" benutzt wird  
      (CVE-2014-0351).
 
      '''Affected Products:'''
      FortiOS 5.0.0 bis 5.0.7, FortiOS 4.3.15 und tiefere Versionen
 
      Solutions:
      Upgrade auf FortiOS 4.3.16, 5.0.8, or 5.2.0.
 
      '''Refrences:'''
      http://www.fortiguard.com/advisory/FG-IR-14-006/
 
=== Remote Exploit Vulnerability in Bash - 24. September 2014 - (Shellshock) (CVE-2014-6271)? ===
 
In der weit verbreiteten GNU Bourne Again Shell (Bash) wurde eine gravierende Schwachstelle gefunden. Die "Shellshock" genannte Sicherheitslücke ermöglicht es Angreifern unter gewissen Umständen die Ausführung von Code auf dem angegriffenen System. Wir empfehlen Ihnen die nachfolgenden Informationen gut durchzulesen und die nötigen Schritte zu veranlassen:
 
        '''Impact:'''
        Der Exploit betrifft die GNU Bash Shell Versionen 1.14.0 bis 4.3. Bei betroffenen, auf unix basierenden, Systemen kann der Angreifer ausführbarer Code in einer Umgebungsvariable abspeichern und   
        diesen dann ausführen. Die Platzierung von ausführbarem Code in der Umgebungsvariable kann dabei lokal oder von remote vorgenommen werden. Die Erstellung oder Manipulation von Umgebungsvariablen von
        remote ist theoretisch über verschiedene Funktionen möglich (z.B. Manipulation von HTTP Client Request Headern, SSH Servern, DHCP Clients, etc.). Aufgrund der weiten Verbreitung der Bash Shell
        wird dieser Exploit als kritisch eingestuft!
 
        '''Affected Products:'''
        FortiAnalyzer (versions 5.0.X and 5.2.0) - authentication required to exploit
        FortiAuthenticator - authentication required to exploit
        FortiDB
        FortiManager (versions 4.3, 5.0.X and 5.2.0) - authentication required to exploit
        AscenLink v7.X
 
        '''References:'''
        http://www.fortiguard.com/advisory/FG-IR-14-030/
        http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-6271
 
        '''Test:'''
        Um zu testen ob ein Unix basiertes System betroffen ist, kann folgender Befehl ausgeführt werden:
       
        # env var='() { :;};echo Vulnerable' /bin/bash -c /bin/true
       
        Oder, falls das System nicht über /bin/env verfügt:
       
        # export var='() { :;}; echo Vulnerable'; /bin/bash -c /bin/true
       
        Wenn "Vulnerable" angezeigt wird, ist ihr System betroffen.
 
        '''Solutions:'''
        Fortinet wird die Sicherheitslücke im Rahmen des nächsten Patches für die betroffenen Systeme schliessen.
 
        '''Workarounds:'''
        Durch Fortigate erreichbare Systeme können mit der IPS Signatur "Bash.Function.Definitions.Remote.Code.Execution" geschützt werden. Diese IPS Signatur ist im IPS Update 5.552 enthalten
        (das Update wurde am 25. September 2014 via FDN Server bereitgestellt). Voraussetzung dafür ist ein aktiver FortiGuard Maitenance Vertrag.
       
        Für bereits erkannte Angriffsversuche wurde ausserdem eine Antivirus Signatur bereitgestellt. Diese wird via Hot Update Funktion in der AV DB 22.863 bereitgestellt.
       
        Der aktuelle Stand der IPS-Attack- und AV-Definitions-Datenbank kann mit folgendem Befehl angezeigt werden:
       
        # get system fortiguard-service status
       
        Das Update der IPS- und AV-Definitionen kann mit folgendem Befehl manuell angestossen werden:
       
        # execute update-now
 
=== SSL v3 "POODLE" Vulnerability - 16. Oktober 2014 - (CVE-2014-3566)? ===
 
Google hat eine weitere Schwachstelle im SSLv3 Protokoll entdeckt. Die "Poodle" benannte Sicherheitslücke ermöglicht es Angreifern Teile von SSLv3 verschlüsselten Verbindungen zu entschlüsseln. Theoretisch ist es einem Angreifer so möglich, aktive Sitzungen eines Anwenders zu kapern oder sogar dessen Account zu übernehmen. Wir empfehlen Ihnen die nachfolgenden Informationen gut durchzulesen und die nötigen Schritte zu veranlassen:
 
        '''Impact:'''
        Der auf einer Man-in-the-Middle (MitM) Postion basierende Angriff passiert in zwei Stufen: In einem ersten Schritt erzwingt
        der Angreifer durch gezielte Manipulation des Verbindungsaufbaus einen Verbindung nach dem Protokollstandard SSLv3. Dieser
        Schritt basiert auf der Abwärtskompatibilität der Kommunikationspartner. In der Aufbauphase einer verschlüsselten Verbindung
        handeln diese die verwendete Sicherheits-Protokoll-Version aus (heute normalerweise TLS 1.2). Dabei manipuliert der Angreifer
        aus seiner MitM Position die Aufbauphase so, dass es für die Kommunikationspartner so aussieht, als würde der einte nur die
        alte Sicherheits-Protokoll-Version SSLv3 unterstützen. Als Konsequenz etablieren diese eine Verbindung welche mit dem alten
        Sicherheits-Protokoll SSLv3 verschlüsselt wird. In einem zweiten Schritt nutzt der Angreifer das SSLv3 Problem 'MAC-than-Encrypt'
        aus um einzelne Bytes der ausgetauschten Daten zu dechiffrieren.
 
        '''Affected Products:'''
        FotiGates in der Default Konfiguration (HTTPS GUI, bei der verwendung folgender Features: VIP load-balance, SSL VPN, wanopt, SIP SSL)
        FortiMail in der default Konfiguration (HTTPS GUI, mail ssl services: SMTPS, IMAPS, POP3S)
        FortiAnalyzer
        FortiManager
        FortiVoice
 
        '''References:'''
        http://googleonlinesecurity.blogspot.fr/2014/10/this-poodle-bites-exploiting-ssl-30.html
        https://www.openssl.org/~bodo/ssl-poodle.pdf
        http://www.heise.de/security/artikel/Poodle-So-funktioniert-der-Angriff-auf-die-Verschluesselung-2425250.html
 
        '''Solutions:'''
        Die Sicherheitslücke kann bei den FortiGates und bei FortiMail durch die Deaktivierung von SSLv3 für die 5 Server welche SSL verwenden geschlossen werden:       
       
        Einstellungen am FortiOS (FortiGates):
       
        GUI (openssl):   
        # config system global 
        # set strong-crypto enable 
        # end         
       
        (allenfalls verwendete Features:)
   
   
        VIP load-balance (fts):
<Big>'''Lösung:'''</big></br>
        # config firewall vip 
Auf folgende Versionen upgraden, damit die Sicherheitslücke geschlossen wird.
        # edit "your_vip" 
        # set ssl-min-version tls-1.0 
        # end         
       
        SSL VPN:
        # config vpn ssl settings
        # set sslv3 disable  (enabled per default)
        # end       
       
        wanopt:    
        # config wanopt ssl-server 
        # edit <profile>
        # set ssl-min-version tls-1.0 
        # end       
       
        SIP SSL (not supported on low end units):
        # config voip profile
        # edit <profile>  
        # config sip
        # set ssl-mode full
        # set ssl-min-version tls-1.0       
       
       
        Einstellungen an der Fortimail:       
       
        All:
        # config system global
        # set strong-crypto enable
        # end       
       
        Zum Zeitpunkt der Artikelerfassung war einzig der Internet Explorer 6 bekannt, welcher nach der Deaktivierung von SSLv3
        möglicherweise Kombatibiltätsprobleme aufweisen könnte. Da es sich um eine  alte Browserversion handelt (aktuellste IE
        Version: 11) werden diese Kombatibilitätsprobleme vernachlässigt. D.h. es ist für die Fortigates (4.3.X, 5.0.X, 5.2.X)
        und für die Fortimail (5.0.X und 5.2.X) keine Patchung vorgesehen. Ein allfälliger Patch für die anderen betroffenen
        Produkte wird aktuell noch überprüft.       
       
        Eine alternative Lösung ist die Deaktivierung von SSLv3 im jeweiligen Browser (HowTo gemäss Browser Dokumentation).


=== "GHOST" vulnerability GNU C Library - 28. Januar 2015 - (CVE-2015-0235)? ===
'''FortiAnalyzer'''
* FortiAnalyzer 7.6 : upgraden auf 7.6.6 <small>Version bald verfügbar - Stand 29.01.2026</small>
* FortiAnalyzer 7.4 : upgraden auf 7.4.10 oder höher
* FortiAnalyzer 7.2 : upgraden auf 7.2.12 <small>Version bald verfügbar - Stand 29.01.2026</small>
* FortiAnalyzer 7.0 : upgraden auf 7.0.16 <small>Version bald verfügbar - Stand 29.01.2026</small>


Auf allen Linux basierenden System die eine "standard GNU C Library (aka glibc)" benützen, kann über die Library Funktion "gethostbyname()" und über eine "heap overflow condition" auf dem Zielsystem ein Exploit mit bestimmten Paramentern ausgeführt werden.
'''FortiManager'''
* FortiManager 7.6 : upgraden auf 7.6.6 <small>Version bald verfügbar - Stand 29.01.2026</small>
* FortiManager 7.4 : upgraden auf 7.4.10 oder höher
* FortiManager 7.2 : upgraden auf 7.2.13 <small>Version bald verfügbar - Stand 29.01.2026</small>
* FortiManager 7.0 : upgraden auf 7.0.16 <small>Version bald verfügbar - Stand 29.01.2026</small>


        '''Impact:'''
'''FortiGate:'''
        Diese Möglichkeit besteht Lokal sowie Remote dh. über die Applikation zB einem Mail Server. Die Funktion "gethostbyname ()"
* FortiOS 7.6 : upgraden auf [[:Datei:FortiOS-Release-Notes-Version-7.6.6.pdf|7.6.6]] oder höher
        wird benützt um den Namen zB www.fortinet.com aufzulösen um so die entsprechende IP zu ermitteln (resolve hostname to IP).
* FortiOS 7.4 : upgraden auf [[:Datei:FortiOS-Release-Notes-Version-7.4.11.pdf|7.4.11]] oder höher
* FortiOS 7.2 : upgraden auf [[:Datei:FortiOS-Release-Notes-Version-7.2.13.pdf|7.2.13]] oder höher
* FortiOS 7.0 : upgraden auf <small>Version bald verfügbar - Stand 30.01.2026</small>


        '''Affected Products:'''
'''FortiProxy:'''
        Alle FortiOS Versionen die eine "embeded" und betroffene "glibc" Version benützen. Wie auch immer die betroffene Funktion wird
* FortiProxy 7.6 : upgraden auf 7.6.6 <small>Version bald verfügbar - Stand 29.01.2026</small>
        nicht durch den FortiOS Code selber aufgerufen - sondern über Drittprodukte - und somit ist das FortiOS nicht direkt betroffen.
* FortiProxy 7.4 : upgraden auf 7.4.13 <small>Version bald verfügbar - Stand 29.01.2026</small>
        Dennoch folgende Produkte benützen eine "glibc" Version die betroffen ist, jedoch konnte durch interne Test's diese Möglichkeit
* FortiProxy 7.2 : upgraden auf 7.2.x migrieren auf eine Supportete Version (7.6.6 oder 7.4.13)
        eines solchen Angriffs ausgeschlossen werden:
* FortiProxy 7.0 : upgraden auf 7.0.x migrieren auf eine Supportete Version (7.6.6 oder 7.4.13)
       
        FortiManager
        FortiAnalyzer
        FortiMail
        FortiVoice
        FortiRecorder
        AscenLink
        FortiSanbbox
        FortiAuthenticator
        FortiCache
        FortiSwitch
        FortiWAN
        FortiDDoS
        FortiADC D series (note: E series is not vulnerable)  


        '''References:'''
'''FortiWeb:'''
        http://www.fortiguard.com/advisory/FG-IR-15-001/
* FortiWeb 8.0 : upgraden auf 8.0.4 <small>Version bald verfügbar - Stand 29.01.2026</small>
        https://www.qualys.com/research/security-advisories/GHOST-CVE-2015-0235.txt
* FortiWeb 7.6 : upgraden auf 7.6.7 <small>Version bald verfügbar - Stand 29.01.2026</small>
* FortiWeb 7.4 : upgraden auf 7.4.12 <small>Version bald verfügbar - Stand 29.01.2026</small>


        '''Solutions:'''
<Big>'''Weitere Massnahmen und Workaround:'''</big>
        Wie schon erwähnt unter "Affected Products" sind die genannte Produkte resp. FortiOS nicht betroffen. Nichts desto trotz
        werden für die betroffenen Produke reguläres Update's released dh. die betroffene "glibc" Library werden auf den neusten
        Stand gebracht. In der Zwischenzeit steht über die IPS Funktion auf einer FortiGate die folgende Signature zur Verfügung:
       
        Glibc.Gethostbyname.Buffer.Overflow
       
        Zusätzlich sollte verhindert werden, dass für die genannten Produkte das Administration Interface vom Internet her nicht
        erreichbar ist.


== Support Alert ==
Die FortiCloud SSO-Authentifizierung unterstützt keine Anmeldungen mehr von Geräten mit verwundbaren Versionen.</br>
Daher ist es derzeit nicht notwendig, die FortiCloud SSO-Anmeldung auf der Client-Seite zu deaktivieren. </br>
Zur Referenz kann dies dennoch wie folgt durchgeführt werden:


=== Fortinet Support Bulletin Anouncing Page? ===
Bei FortiOS und FortiProxy:
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
Zum Deaktivieren der FortiCloud-Login-Funktion navigierst Du zu:


Fortinet Support Bulletin Announcing Page ist eine Seite in der Fortinet von Zeit zu Zeit wichtige Informationen zu BugFixes, Critical Bugs im Zusmmenhang mit dem Support der Fortinet Produkte lanciert:
<code> System </code>&rarr;<code> Settings </code>&rarr;<code>Allow administrative login using FortiCloud SSO</code> Option deaktivieren.
[[Datei:Fortinet-3546.jpg|550px|link=]]
|}


        https://support.fortinet.com/EndUser/Bulletin.aspx
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre style="background-color:#252269;color: #FFFFFF">
config system global
set admin-forticloud-sso-login disable
end
</pre>
|}
Beim FortiManager oder FortiAnalyzer:
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
Zum Deaktivieren der FortiCloud-Login-Funktion navigierst Du zu:


=== Fortinet Announced neue MAC-Adressen für AccessPoints (FAP)? ===
<code> System Settings </code>&rarr;<code> SAML SSO </code>&rarr;<code>Allow admins to login with FortiCloud</code> Option deaktivieren.
[[Datei:Fortinet-3550.jpg|550px|link=]]
|}


Bis anhin hat Fortinet Access Points ausgeliefert basierend auf der MAC Adresse "00:09:0F" (Stand April 2013). Diese MAC Adresse ist direkt verknüpft mit der FortiOS Software auf de Access Points für vers. Funktionen. Nun aus nicht bekannten Gründen werden neu ausgelieferte Fortinet Access Points mit der MAC Adresse "08:5B:0E" ausgeliefert. Dies kann (muss nicht) zu Problemen führen im Betrieb da wie schon erwähnt die MAC Adresse mit dem FortiOS verknüpft ist. Um diese Probleme zu verhindern ist zu beachten mind. FortiOS 5.0.3 auf den Access Points einzusetzen da in diesem Patch Release dem Umstand der neuen MAC Adresse Rechnung getragen wird. Wenn dem nicht Rechnung getragen wird dh. neue MAC Adresse mit FortiOS 5.0.2 auf den Access Points betrieben wird kann dies zu Problemen führen. Nachfolgendes Dokument wurde von Fortinet betreffend diesem Umstand als "Customer Support Bulletin" herausgegeben:
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre style="background-color:#252269;color: #FFFFFF">
config system saml
set forticloud-sso disable
end
</pre>
|}


        [[Datei:CSB-130403-1-FortiAP-MAC-Addresses.pdf]]
<big>'''Idicators of Compromise'''</big></br>
'''SSO-Login-Benutzerkonten:'''


Wir bitten allen Kunden zukünftig auf den Access Points mind. FortiOS 5.0.3 einzusetzen. Wenn die Access Points im Zusammenhang mit FortiGate FortiOS 4 MR3 eingesetzt werden siehe folgender Artikel:
Der Angreifer wurde dabei beobachtet, sich mit den folgenden Benutzerkonten anzumelden:
* cloud-noc@mail.io
* cloud-init@mail.io


        [[FortiAP:FAQ#Welche_Firmware_sollte_auf_einer_FortiGate_und.2Foder_FortiAP_benutzt_werden.3F]]
Fortinet geht davon aus, dass sich diese Adressen in Zukunft ändern könnten, da Massnahmen ergriffen wurden, um diese Konten zu neutralisieren.</br>
'''IP-Adressen''':


=== Fortinet zieht FortiGate FortiOS 4.3 Patch 13 zurück? ===
Der Angreifer wurde beobachtet, wie er sich über mehrere IP-Adressen angemeldet hat und offenbar auf durch Cloudflare geschützte IPs gewechselt ist:
* 104.28.244.115
* 104.28.212.114
* 104.28.212.115
* 104.28.195.105
* 104.28.195.106
* 104.28.227.106
* 104.28.227.105
* 104.28.244.114


Fortinet hat am 7. May 2013 die neue Firmware für FortiGate's FortiOS 4 MR3 Patch13 zur Verfügung gestellt und hat diese am gleichen Tag zurückgezogen. Probleme gab es im IPSec Bereich (Phase 2) durch die Definition eines Subnets. Als Workaround kann in der Phase2 der Selektor die IP als Bereich definiert werden zB. 192.168.1.1-192.168.1.255. Ist der Selektor als IP in der Form 192.168.1.0/24 definiert kommt es zu Problemen. Weitere Informationen im offiziellen "Customer Support Bulletin" von Fortinet:
Adressen die nicht von Fortinet sondern von Drittpersonen beobachtet wurden:
* 37[.]1.209.19
* 217[.]119.139.50


        [[Datei:CSB-130507-1-FortiOS-IPSec-VPN.pdf]]
'''Bösartige Erstellung lokaler Konten:'''


Wir bitten alle Kunden diese Release nicht zu benutzen und falls bereits angewendet ein Rollback durchzuführen oder als letzte Möglichkeit den Workaround anzuwenden!
Nach der Authentifizierung via SSO wurde beobachtet, dass der Angreifer ein lokales Administratorkonto mit einem der folgenden Namen erstellt. <br>
Diese Namen haben sich im Verlauf der Analyse geändert. Daher empfiehlt Fortinet, alle Administratorkonten zu überprüfen, um unerwartete Einträge zu identifizieren:
* audit
* backup
* itadmin
* secadmin
* support
* backupadmin
* deploy
* itadmin
* remoteadmin
* security
* svcadmin
* system
{| class="wikitable" style="width:850px"
|-
| style="width:50px;background-color: #89e872;"| <span>[[File:hinweis.svg|50px|link=]]</span>
| style="background-color: #c4f3b8"|
In diesem Wiki Artikel wird erklärt, wie man eine Email bekommt, wenn eine Konfigurationsänderung vorgenommen wird.
* [[FortiGate:FAQ#Wie_richte_ich_einen_Automation_Stitch_f%C3%BCr_Konfigurations-%C3%84nderungen_ein?|Wie richte ich einen Automation Stitch für Konfigurations-Änderungen ein?]] <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small>
|}
'''Hauptoperationen des Angreifers:'''
* Herunterladen der Kunden-Konfigurationsdatei
* Hinzufügen eines Administratorkontos zur Erhaltung des Zugriffs (Persistenz)
----
'''Weitere Informationen findet man unter folgenden externen Artikeln:'''<br>
<small>
PSIRT - FortiGuard:
* https://www.fortiguard.com/psirt/FG-IR-26-060 <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small>
* https://www.fortinet.com/blog/psirt-blogs/analysis-of-sso-abuse-on-fortios <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small>
CVE Informationen 
* https://www.cve.org/CVERecord?id=CVE-2026-24858<small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small>
Heise.de:
* https://www.heise.de/news/Fortinet-kaempft-weiter-gegen-laufende-SSO-Admin-Attacken-11156437.html<small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small>
</small>
----
<small>edit 30.01.2026 - 4Tinu</small>
|}
----
{| class="wikitable" style="width:100%"
|-
| style="width:100px;background-color: #f2f79d;vertical-align:top"| <span style="color:#ffbb98">[[File:vulnerability.svg|100px|link=]]</span>
|


        '''NOTE''' Am 17. Mai 2013 wurde Patch 14 Released. In diesem Release wurde der Fehler
===Heap-based buffer overflow in cw_acd daemon - FG-IR-25-084===
            korrigiert. Wir bitten alle Kunden die den Patch 13 verwenden mit dem
----
            Workaround ein Upgrade auf Patch 14 durchzuführen!
<Big>'''Problembeschreibung'''</big>
Eine heap-basierte Pufferüberlauf-Schwachstelle [CWE-122] in FortiOS und FortiSwitchManager cw_acd Daemon kann es einem remoten,
nicht authentifizierten Angreifer ermöglichen, beliebigen Code oder Befehle über speziell erstellte Anfragen auszuführen.


=== FortiGate/FortiOS Ports down after 248 days of operation? ===
Das Vorhandensein von Sicherheitskontrollen wie ASLR und PIE erhöht die Komplexität und den Vorbereitungsaufwand für die Ausnutzung erheblich.


Bei unten aufgeführten FortiGate Modellen/FortiOS Versionen kann es bei 1G und 10G Ports zu bestimmten Symptomen kommen. Dies speziell nach 248 Tagen dh. Diese Symptome treten nicht per Standard auf sondern treten nur auf wenn auf FortiOS Ebene eine bestimmten Konstellation eintritt. folgende Symptome können auftreten:
<Big>'''Bedrohungslevel:'''</big>
* Severity : High
* Die Bedrohung wird mit einem CVSSv3 Score von '''7.4''' eingestuft!
<Big>'''Betroffene Systeme:'''</big>


        Link negotiation errors
'''FortiGate:'''
        Port status down
* FortiOS 7.6.0 - 7.6.3
        Port satus up but no traffic passing
* FortiOS 7.4.0 - 7.4.8
        Link failure
* FortiOS 7.2.0 - 7.2.11
        Port interface statistic rx/tx not correct
* FortiOS 7.0.0 - 7.0.17
* FortiOS 6.4.0 - 6.4.16
'''FortiSwitchManager:'''/<br>
* FortiSwitchManager 7.2.0 bis 7.2.6
* FortiSwitchManager 7.0.0 bis 7.0.5


Folgende Modelle und Module sind betroffen:
<Big>'''Lösung:'''</big></br>
Auf folgende Versionen upgraden, damit die Sicherheitslücke geschlossen wird.


        FortiGate: 600C/800C/1000C/1240B/3040B/3140B/3240C/3950B/3951B/5001B/5101C/5203B
'''FortiGate:'''
        FortiGate FMC Module: C20/F20/XD2
* FortiOS 7.6.4 oder höher
        FortiCarrier: 3950B/3951B/5001B
* FortiOS 7.4.9 oder höher
* FortiOS 7.2.12 oder höher
* FortiOS 7.0.18 oder höher
* FortiOS 6.4.17 (wird folgen)
'''FortiSwitchManager:'''/<br>
* FortiSwitchManager 7.2.7 oder höher
* FortiSwitchManager 7.0.6 oder höher
<Big>'''Weitere Massnahmen und Workaround:'''</big>
Bei jedem Interface den <code>fabric</code> Zugriff entfehrnen.


Folgende FortiOS Pachlevel sind betroffen:
Beispiel Konfiguration:


        FortiOS 4.0 MR2 GA to Patch Release 12 (4.2.12)
Ausgangslage:
        FortiOS 4.0 MR3 GA to Patch Release 8 (4.3.8)
<pre>
        FortiOSCarrier 4.0 MR2 GA to Patch Release 12 (4.2.12)
config system interface
        FortiOSCarrier 4.0 MR3 GA to Patch Release 8 (4.3.8)
edit "port1"
set allowaccess fabric ssh https
next
end
</pre>
ändern zu:
<pre>
config system interface
edit "port1"
set allowaccess ssh https
next
end
</pre>


Ein Workaround ist auf den letzen FortiOS Patchlevel upzugraden. Wenn das Symptome auftritt sollte für eine sofortige Lösung der Device neu gestartet werden! Folgende Support Bulletin von Fortinet gibt Auskunft über dieses Issue:
eine Weitere Massnahme ist es den zum CAPWAP Daemon verweigern.


        [[Datei:CSB-270513-1-port-down-248-days-1.pdf]]
Für jedes interface mit dem <code>fabric</code> service, mit einer Localin Policy die CAPWAP-CONTROL Ports (udp 5246 - 5249) blockieren.


=== Der FortiAnalyzer 4.0 MR3 Patch 6 FIPS und CC Zertifiziert? ===
Beispiel:
<pre>
config firewall service custom
edit "CAPWAP-CONTROL"
set udp-portrange 5246-5249
next
end
config firewall addrgrp
edit "CAPWAP_DEVICES_IPs"
set member "my_allowed_addresses" <-- IP adressen welche erlaubt sind
end
config firewall local-in-policy
edit 1 <-- Regel welche den Zugriff erlaubt.
set intf "port1" <-- Interfaces bei welchem fabric aktiviert ist
set srcaddr "CAPWAP_DEVICES_IPs"
set dstaddr "all"
set service "CAPWAP-CONTROL"
set schedule "always"
set action accept
next
edit 2 <-- Regel welche alle anderen Interfaces blockiert mit dem
set intf "any"
set srcaddr "all'
set dstaddr "all"
set service "CAPWAP-CONTROL"
set schedule "always"
set action deny
next
end
</pre>


Folgende Builds basierend auf "4.0 MR3 Patch 6" des FortiAnalyzer wurden FIPS und [[http://de.wikipedia.org/wiki/Common_Criteria_for_Information_Technology_Security_Evaluation| CC]] Zertifiziert:
----
'''Weitere Informationen findet man unter folgenden externen Artikeln:'''<br>
<small>
PSIRT - FortiGuard:
* https://www.fortiguard.com/psirt/FG-IR-25-084 <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small>
CVE Informationen 
* https://www.cvedetails.com/cve/CVE-2025-25249/<small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small>
</small>
----
<small>add 21.01.2026 - 4Tinu</small>
|}
----
{| class="wikitable" style="width:100%"
|-
| style="width:100px;background-color: #f2f79d;vertical-align:top"| <span style="color:#ffbb98">[[File:vulnerability.svg|100px|link=]]</span>
|


        FortiAnalyzer-100C, 400B, 400C, 1000C, 2000B, 4000B
===Multiple Fortinet Products FortiCloud SSO Login Authentication Bypass - CVE-2025-59718 und CVE-2025-59719===
[[Datei:new.svg|40px|link=]]
----
<Big>'''Problembeschreibung'''</big>


Weitere Informationen können über das offizielle Dokument des Support Bulletins entnommen werden:
Eine Schwachstelle aufgrund unzureichender Verifizierung kryptographischer Signaturen (CWE-347) in FortiOS, FortiWeb, FortiProxy und FortiSwitchManager
kann es einem nicht authentifizierten Angreifer ermöglichen, die FortiCloud-SSO-Login-Authentifizierung durch eine manipulierte SAML-Nachricht zu umgehen,
sofern diese Funktion auf Deinem Gerät aktiviert ist.


        [[Datei:CSB-130507-2-FAZ-40MR3P6-FIPS-CC-Certified-Firmware.pdf]]
<Big>'''Bedrohungslevel:'''</big>
* Severity : Critical
* Die Bedrohung wird mit einem CVSSv3 Score von '''9.1''' eingestuft!
<Big>'''Betroffene Systeme:'''</big>


=== FortiClient AV update package causes connectivity issues? ===
'''FortiGate:'''
* FortiOS 7.6.0 - 7.6.4
* FortiOS 7.4.0 - 7.4.8
* FortiOS 7.2.0 - 7.2.11
* FortiOS 7.0.0 - 7.0.17
* FortiOS 6.4.x ist nicht betroffen
'''FortiProxy:'''</br>
* FortiProxy 7.6.0 bis 7.6.3
* FortiProxy 7.4.0 bis 7.4.10
* FortiProxy 7.2.0 bis 7.2.14
* FortiProxy 7.0.0 bis 7.0.21
'''FortiWeb:'''</br>
* FortiWeb 8.0.0
* FortiWeb 7.6.0 bis 7.6.4
* FortiWeb 7.4.0 bis 7.4.9
* FortiWeb 7.2.x ist nicht betroffen
* FortiWeb 7.0.x ist nicht betroffen
'''FortiSwitchManager:'''/<br>
* FortiSwitchManager 7.2.0 bis 7.2.6
* FortiSwitchManager 7.0.0 bis 7.0.5


Am 19. Juli 2013 wurde durch Fortinet über das FortiGuard Environment ein Antivirus Definition File Update bereitgestellt mit der Version 17.940! Diese Version des Antivirus Definiton File beinhaltete ein "False Positive". Dies bedeutet das Microsoft File "tcpip.sys" wurde fälschlicherweise als Virus erkannt. Durch diesen "False Positive" wurde das File - sofern auf dem Client ein "scheduled scan" durchgeführt wurde - in die Quarantine verschoben. Effekt daraus war, dass die Netzwerkverbindung des betroffenen Client - durch das verschieben des genannten Files - unterbrochen wurde sowie nicht mehr funktionierte da dieses File "tcpip.sys" benötigt wird auf einem Client um eine erfolgreichen Netzwerkverbindung zu etablieren.
<Big>'''Lösung:'''</big></br>
Auf folgende Versionen upgraden, damit die Sicherheitslücke geschlossen wird.


Dieser "False Positive" wurde durch das Defintion File Update am 22. Juli 2013 mit der Version 17.943 korrigiert!
'''FortiGate:'''
* FortiOS 7.6.4 oder höher
* FortiOS 7.4.9 oder höher
* FortiOS 7.2.12 oder höher
* FortiOS 7.0.18 oder höher
'''FortiProxy:'''</br>
* FortiProxy 7.6.4 oder höher
* FortiProxy 7.4.11 oder höher
* FortiProxy 7.2.15 oder höher
* FortiProxy 7.0.22 oder höher
'''FortiWeb:'''</br>
* FortiWeb 8.0.1 oder höher
* FortiWeb 7.6.5 oder höher
* FortiWeb 7.4.10 oder höher
'''FortiSwitchManager:'''/<br>
* FortiSwitchManager 7.2.7 oder höher
* FortiSwitchManager 7.0.6 oder höher


        '''Workaround um den "False Positvie" zu beheben:'''
<Big>'''Weitere Massnahmen und Workaround:'''</big>
       
        Kontrollieren Sie im FortiClient ob das File "tcpip.sys" sich in der Quarantine befindet:
       
        FortiClient Console > Klicke auf AntiVirus > danach wähle "Threats Quarantined"
       
        Befindet sich das File "tcpip.sys" in der Quarantine führe folgendes durch:
       
        1. Download the TCPIP-fix.zip file from the following location and copy to a USB flash drive or similar media:
         
            ftp://ftp-temp:r3triev3@support.fortinet.com/dropbox/CSB_Forticlient_17.940/TCPIP-fix.zip
         
        2. Disable the "Real Time Protection" from the FortiClient Console.
        3. Shutdown the FortiClient software.
        4. Open the cmd prompt with "Run As Administrator" privilege.
        5. Perform the command "net stop fortishield".
        6. Transfer the TCPIP-fix.zip to the workstation from the USB flash.
        7. Extract TCPIP-fix.zip into a folder.
        8. Using the command line interface, browse to the extracted folder.
        9. Perform "runme.bat" and wait for the script to finish. You will see the following message in the CMD window:
       
            Please reboot when Windows reports that it has finished installing adapters.
            Press any key to continue . . .
        10. In the Windows tray, you will see a message "Installing device driver software" and then a second message "Your device is ready to use".
        11. Reboot the PC.
        12. After the reboot and the network is restored, update the FortiClient AV signatures.
        13. Re-enable "Real Time Protection" from the FortiClient Console.


Weitere Informationen können über das offizielle Dokument des Support Bulletins entnommen werden:
Um zu verhindern, dass betroffene Versionen durch diese Schwachstelle ausgenutzt werden, solltest Du die FortiCloud-Login-Funktion (falls aktiviert) vorübergehend deaktivieren,
bis ein Upgrade auf eine nicht betroffene Version durchgeführt wurde.


        [[Datei:CSB-130724-1_FCT_AV_package_network_issue.pdf]]
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
Zum Deaktivieren der FortiCloud-Login-Funktion navigierst Du zu:


=== FortiWeb connection timeouts during IP Reputation service update? ===
<code> System </code>&rarr;<code> Settings </code>&rarr;<code>Allow administrative login using FortiCloud SSO</code> Option deaktivieren.
[[Datei:Fortinet-3546.jpg|550px|link=]]
|}


Bei WebServer'n die über FortiWeb geschützt werden -im Zusammenhang mit dem auf dem FortiWeb aktivierten Service "IP Reputation"- kommt es zu "Connection Timouts". Dieser Fehler stammt vom FortiOS das auf dem FortiWeb eingesetzt wird. Die Auswirkungen sind Performance Einbussen die den Zugriff auf die Web Server die über FortiWeb geschützt werden verlangsamen. Wenn dieser Umstand eintrifft wird auf der Console folgendes angezeigt:
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre style="background-color:#252269;color: #FFFFFF">
config system global
set admin-forticloud-sso-login disable
end
</pre>
|}


        get IP intelligence hash node error(1000000)
* https://community.fortinet.com/t5/FortiGate/Technical-Tip-Understanding-the-FortiOS-critical-vulnerability/ta-p/426944


Betroffen von diesem Fehler sind folgende FortiOS im Zusammenhang mit FortiWeb:
{| class="wikitable" style="width:850px"
|-
| style="width:50px;background-color: #FF7730;"| <span>[[File:wichtig.svg|50px|link=]]</span>
| style="background-color: #FFB991"|
Beachte, die FortiCloud-SSO-Login-Funktion ist per Default deaktiviert. Registrierst Du jedoch ein Gerät über die GUI bei FortiCare, wird FortiCloud SSO nach der Registrierung '''automatisch aktiviert'''.
|}
----
'''Weitere Informationen findet man unter folgenden externen Artikeln:'''<br>
<small>
PSIRT - FortiGuard:
* https://fortiguard.fortinet.com/psirt/FG-IR-25-647 <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small>
CVE Informationen 
* https://www.cve.org/CVERecord?id=CVE-2025-59718 <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small>
* https://www.cve.org/CVERecord?id=CVE-2025-59719 <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small>
NIST:
* https://nvd.nist.gov/vuln/detail/CVE-2025-59718 <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small>
* https://nvd.nist.gov/vuln/detail/CVE-2025-59719 <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small>
</small>
----
<small>add 10.12.2025 - 4Tinu</small>
|}
----


        5.0.0, 5.0.1, 5.0.2
{| class="wikitable" style="width:100%"
|-
| style="width:100px;background-color: #f2f79d;vertical-align:top"| <span style="color:#ffbb98">[[File:vulnerability.svg|100px|link=]]</span>
|


Als Lösung sollte das FortiOS des FortiWeb auf folgenden Release gebracht werden:
===FortiWeb - Path confusion vulnerability in GUI - CVE-2025-64446===
----
<big>'''Problembeschreibung:'''</big><br>
Eine Schwachstelle zur Pfadmanipulation durch relative Pfadangaben (CWE-23) in FortiWeb kann einem nicht authentifizierten
Angreifer ermöglichen, administrative Befehle auf dem System auszuführen,
indem er speziell präparierte HTTP- oder HTTPS-Anfragen sendet.


        5.0.3
<big>'''Bedrohungslevel:'''</big><br>
* Severity '''Critical'''
* Die Bedrohung wird mit einem CVSSv3 Score von '''9.4''' eingestuft!
<big>'''Betroffene Systeme:'''</big><br>
* FortiWeb 8.0 OS Version '''8.0.0 bis 8.0.1'''
* FortiWeb 7.6 OS Version '''7.6.0 bis 7.6.4'''
* FortiWeb 7.4 OS Version '''7.4.0 bis 7.4.9'''
* FortiWeb 7.2 OS Version '''7.2.0 bis 7.2.11'''
* FortiWeb 7.0 OS Version '''7.0.0 bis 7.0.11'''
Wenn das HTTP/HTTPS-Managementinterface gemäss Best Practices nur intern zugänglich ist, ist das Risiko einer Kompromittierung deutlich reduziert.


Wennn dies nicht möglich ist kann als Workaround der Service/Funktion auf dem FortiWeb der "IP Reputation" deaktiviert werden! Weitere Auskunft gibt folgendes Dokument der diesen Support Alert adressiert:
<big>'''Lösung:'''</big></br>
Auf folgende Versionen kann upgedatet werden, damit diese Sicherheitslücke geschlossen wird:
* FortiWeb 8.0 upgraden auf '''8.0.2''' oder höher
* FortiWeb 7.6 upgraden auf '''7.6.5''' oder höher
* FortiWeb 7.4 upgraden auf '''7.4.10''' oder höher
* FortiWeb 7.2 upgraden auf '''7.2.12''' oder höher
* FortiWeb 7.0 upgraden auf '''7.0.12''' oder höher


        [[Datei:CSB-131018-1_FWB_Connection_Timeouts_IP_Reputation.pdf]]
<big>'''Weitere Massnahmen und Workaround:'''</big></br>
* Bei den externen Management Interfaces <code>HTTP</code> und <code>HTTPS</code> Management Dienst deaktivieren.
* Zugriff auf bekannte und vertrauenswürdige Sourcen limitieren
* Es wird empfohlen, dass Du Deine Konfiguration überprüfst und die Logs auf unerwartete Änderungen oder das
Anlegen nicht autorisierter Administratorkonten kontrollierst.
'''Indicators of Compromise (Stand 18.11.2025)'''</br>
Bekannte Angreifer IP Adressen:
<pre>
107.152.41.19
144.31.1.63
89.169.55.168
185.192.70.33
185.192.70.53
185.192.70.43
185.192.70.25
185.192.70.36
185.192.70.49
185.192.70.39
185.192.70.57
185.192.70.50
185.192.70.46
185.192.70.31
64.95.13.8
</pre>
<small>Siehe: [https://insights.integrity360.com/threat-advisories/threat-advisory-fortinet-fortiweb-active-exploit-nov-2025 Integrity360] <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small></small> 


=== FortiGate Heartbeat Failures if the system uptime is greater than 497 days? ===
Die Angreifer haben folgende Zugangsdaten verwendet:
<pre>
Testpoint - AFodIUU3Sszp5
trader1 - 3eMIXX43
trader - 3eMIXX43
test1234point - AFT3$tH4ck
Testpoint - AFT3$tH4ck
Testpoint - AFT3$tH4ckmet0d4yaga!n
</pre>
<small>Siehe: [https://thehackernews.com/2025/11/fortinet-fortiweb-flaw-actively.html Hacker News] <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small></small> 
----
'''Weitere Informationen findet man unter folgenden externen Artikeln:'''<br>
<small>
PSIRT - FortiGuard:
* https://fortiguard.fortinet.com/psirt/FG-IR-25-910 <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small>
* https://www.fortinet.com/blog/psirt-blogs/analysis-of-sso-abuse-on-fortios<small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small>
CVE Informationen 
* https://www.cve.org/CVERecord?id=CVE-2025-64446 <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small>
Articwolf:
* https://arcticwolf.com/resources/blog/cve-2025-64446/ <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small>
BSI - Deutschland:
* [https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2025-2603 Warnung BSI] <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small>
The Hacker News:
* [https://thehackernews.com/2025/11/fortinet-fortiweb-flaw-actively.html Hacker News] <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small>
</small>
----
<small>edit 10.12.2025 - 4Tinu</small>
|}
----


Wenn ein FortiGate HA Cluster mehr als 497 Tage "up and running" ist kommt es zu "heartbeat" Fehlern! Folgende FortiOS sind betroffen:
{| class="wikitable" style="width:100%"
|-
| style="width:100px;background-color: #f2f79d;vertical-align:top"| <span style="color:#ffbb98">[[File:vulnerability.svg|100px|link=]]</span>
|


        FortiOS 4.0.0 - 4.3.15
===Authentication bypass in Node.js websocket module - CVE-2024-55591===
        FortiOS 5.0.0 - 5.0.4
----
<big>'''Problembeschreibung:'''</big><br>
Eine gezielte Kampagne auf Fortinet FortiGate-Firewalls mit exponierten(externe) Managementinterfaces wurde identifiziert.</br>
Bedrohungsakteure erlangten unbefugten administrativen Zugriff, indem sie neue Benutzerkonten erstellten, SSL-VPN-Zugriffe konfigurierten und laterale Bewegungen
innerhalb des Netzwerks durchführten. Der initiale Zugriffspfad ist bislang nicht bestätigt; es wird jedoch eine Zero-Day-Schwachstelle vermutet.


Um den Uptime zu überprüfen führe folgendes Kommando aus:
<big>'''Auswirkung:'''</big><br> Eine erfolgreiche Ausnutzung ermöglicht unautorisierte Konfigurationsänderungen, einschliesslich der Erstellung von gefälschten Administratorkonten und SSL-VPN-Zugängen,
was potenziell zur vollständigen Kompromittierung des Systems führen kann.


      # get sys performance status
<big>'''Bedrohungslevel:'''</big><br>
* Severity '''Critical'''
* Die Bedrohung wird mit einem CVSSv3 Score von '''9.6''' eingestuft!
<big>'''Betroffene Systeme:'''</big><br>
* FortiGate mit '''FortiOS 7.0.0 - 7.0.16'''


Um den "heartbeat" Fehler zu beheben führen einen Neustart des Cluster's durch um die "Sys Uptime" zurück zustellen! Weitere Auskunft gibt folgendes Dokument der diesen Support Alert adressiert:
* FortiProxy mit '''ProxyOS 7.2.0 - 7.2.12'''
* FortiProxy mit '''ProxyOS 7.0.0 - 7.0.19'''
''Folgende FortiOS Versionen sind '''nicht''' betroffen:''
*'' FortiOS 7.2.x''
* ''FortiOS 7.4.x''
* ''FortiOS 7.6.x''
<big>'''Lösung:'''</big></br>
Auf folgende Versionen kann upgedatet werden, damit diese Sicherheitslücke geschlossen wird:
* Upgraden der '''FortiGate''' auf die [[FortiGate:FAQ#Wo_finde_ich_die_Release_Notes_für_FortiOS_7.0%3F|Version 7.0.17]] oder höher &rArr; <small>(Das FortiOS 7.0.17 wurde am 14.1.2025 ausgerollt.)</small>
* Upgraden vom '''FortiProxy''' auf die Version '''7.2.13''' oder höher
* Upgraden vom '''FortiProxy''' auf die Version '''7.0.20''' oder höher
<big>'''Weitere Massnahmen und Workaround:'''</big></br>
* Bei den externen Management Interfaces <code>HTTP</code> und <code>HTTPS</code> Management Dienst deaktivieren.
* Zugriff auf bekannte und vertrauenswürdige Sourcen limitieren : [[Tipps%26Tricks#Wie_kann_ich_den_Adminzugang_auf_dem_externen_Interface_einschraenken?|Wie kann ich den Adminzugang auf dem externen Interface einschränken?]] <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small>
----
'''Weitere Informationen findet man unter folgenden externen Artikeln:'''<br>
<small>
PSIRT - FortiGuard:
* https://www.fortiguard.com/psirt/FG-IR-24-535 <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small>
CVE Informationen 
* https://www.cve.org/CVERecord?id=CVE-2024-55591 <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small>
Articwolf:
* https://arcticwolf.com/resources/blog/console-chaos-targets-fortinet-fortigate-firewalls/ <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small>
BSI - Deutschland:
* [https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2025/2025-213432-1032.pdf?__blob=publicationFile&v=2 Warnung BSI] <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small>
</small>


        [[Datei:CSB-131106-1_FGT_Heartbeat_failures_497_days.pdf]]
----
<small>edit 15.01.2025 - 4Tinu</small>
|}
----
{| class="wikitable" style="width:100%"
|-
| style="width:100px;background-color: #f2f79d;vertical-align:top"| <span style="color:#ffbb98">[[File:vulnerability.svg|100px|link=]]</span>
|


=== FortiGate System Freeze mit FortiOS 5.0.5 FGT-3810A / FGT-5001B/C? ===
===FortiManager Missing authentication in fgfmsd - CVE-2024-47575===
----
<big>'''Problembeschreibung:'''</big><br>
Eine fehlende Authentifizierung für eine kritische Funktion [CWE-306] im FortiManager <code> fgfmd Daemon </CODE> kann es einem entfernten,
nicht authentifizierten Angreifer mit einem gültigen Fortinet-Zertifikat,
das von einem Fortinet-Gerät oder einer VM extrahiert wurde, ermöglichen, beliebigen Code oder Befehle über speziell gestaltete Anfragen
auszuführen.</br>
'''Auswirkung:'''</br> Unautorisierte Ausführung von Code oder Befehlen</br>
'''Details:'''</br> Ein entfernter, nicht authentifizierter Angreifer kann Berechtigungen umgehen und unautorisierte Befehle ausführen, was den Download von FortiManager-Konfigurationen ermöglichen kann, einschliesslich derjenigen der verwalteten FortiGate-Geräte.


Einge Modelle von FortiGate dh. FGT-3810A / FGT-5001B/C mit FortiOS 5.0.5 sind von folgenden Umstand betroffen:
FG-IR: FG-IR-24-423</br>
<big>'''Bedrohungslevel:'''</big><br>
* Severity '''Critical'''
* Die Bedrohung wird mit einem CVSSv3 Score von '''9.8''' eingestuft!
<big>'''Betroffene Systeme:'''</big><br>
* FortiManager  7.6.0 und älter
* FortiManager 7.4.0 bis 7.4.4
* FortiManager 7.2.0 bis 7.2.7
* FortiManager 7.0.0 bis 7.0.12
* FortiManager 6.4.0 bis 6.4.14
* FortiManager 6.2.0 bis 6.2.12


        Wenn "heavy-load" im Zusammenhang mit HTTP Traffic auftritt kann ein System Freeze eintreten!
* FortiManager Cloud 7.6 ist nicht betroffen
* FortiManager Cloud 7.4.1 bis 7.4.4
* FortiManager Cloud 7.2.1 bis 7.2.7
* FortiManager Cloud 7.0.1 bis 7.0.12
* FortiManager Cloud 6.4 sind alle Versionen betroffen


Wenn dies eintritt ist die CLI sowie das Web Mgmt. Interface nicht mehr zugänglich. Dieser Umstand tritt nur auf im Zusammenhang mit den genannten Geräten, bestimmten NP4 Prozessoren und VLAN's sowie FortiOS 5.0.5! Fortinet wird am November 22, 2013 für die betroffenen Geräte einen Patch zur Verfügung stellen. Weitere Informationen findet man im foglenden Support Alert Dokument:
<big>'''Lösung:'''</big></br>
Auf folgende Versionen kann upgedatet werden, damit diese Sicherheitslücke geschlossen wird:
* Upgraden auf die FortiManager Version 7.6 upgraden auf die Version '''7.6.1''' oder höher &rarr; [[FortiManager:FAQ#Wo_finde_ich_die_Release_Notes_für_den_FortiManager?|Release Notes auf dem Wiki]]
* Upgraden auf die FortiManager Version 7.4 upgraden auf die Version '''7.4.5''' oder höher &rarr; [[FortiManager:FAQ#Wo_finde_ich_die_Release_Notes_für_den_FortiManager?|Release Notes auf dem Wiki]]
* Upgraden auf die FortiManager Version 7.2 upgraden auf die Version '''7.2.8''' oder höher &rarr; [[FortiManager:FAQ#Wo_finde_ich_die_Release_Notes_für_den_FortiManager?|Release Notes auf dem Wiki]]
* Upgraden auf die FortiManager Version 7.0 upgraden auf die Version '''7.0.13''' oder höher &rarr; [[FortiManager:FAQ#Wo_finde_ich_die_Release_Notes_für_den_FortiManager?|Release Notes auf dem Wiki]]
* Upgraden auf die FortiManager Version 6.4 upgraden auf die Version '''6.4.15''' oder höher &rarr; [[FortiManager:FAQ#Wo_finde_ich_die_Release_Notes_für_den_FortiManager?|Release Notes auf dem Wiki]]
* Upgraden auf die FortiManager Version 6.2 upgraden auf die Version '''6.2.13''' oder höher &rarr; [[FortiManager:FAQ#Wo_finde_ich_die_Release_Notes_für_den_FortiManager?|Release Notes auf dem Wiki]]


        [[Datei:CSB-131113-1_FGT_NP4_Hang_Issue.pdf]]
* Upgraden auf die FortiManager Cloud Version 7.4 upgraden auf die Version 7.4.5 oder höher
* Upgraden auf die FortiManager Cloud Version 7.2 upgraden auf die Version 7.2.5 oder höher
* Upgraden auf die FortiManager Cloud Version 7.0 upgraden auf die Version 7.0.5 oder höher
* Upgraden auf die FortiManager Cloud Version 6.4 auf eine höhere GA Version upgraden/migrieren


=== FortiGuard updates to FortiOS 2.8 to finish? ===
Die alten FortiAnalyzer-Modelle
* 1000E
* 1000F
* 2000E
* 3000E
* 3000F
* 3000G
* 3500E
* 3500F
* 3500G
* 3700F
* 3700G
* 3900E
mit der folgenden aktivierten Funktion (FortiManager auf FortiAnalyzer):
{| class="wikitable" style="width:550px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre style="background-color:#252269;color: #FFFFFF">
config system global 
set fmg-status enable 
end
</pre>
|}
Ebenfalls ist mindestens ein Interface mit aktiviertem fgfm-Dienst von dieser Sicherheitslücke betroffen.


Am 28. November 2013 kündigt Fortinet an das FortiOS basierend auf Version 2.8 EOL (End Of Life) geht dh. speziell für die IPS Engine 1.000 sowie AV Engine 3.003 werden keine Updates mehr zur Verfügung gestellt sowie die Entwicklung wird eingestellt. Alle FortiGate's basierend auf FortiOS 2.8 sollten so schnell als möglich auf die Version 3.0 gebracht werden um weiterhin betreffend Support sei es IPS und/oder AV Engine zu gewährleisten.
<big>'''Workarounds:</big></br>


Diese Ankündigung wurde von Fortinet unter folgendem Customer Support Bulletin herausgegeben '''CSB-131126-1'''.
'''Massnahme 1''':</br>
Auf dem FortiManager der Versionen <=7.0.12, <=7.2.5 oder <=7.4.3 (ausser 7.6.0) kann mit folgender Konfiguration verhindert werden, dass unbekannte Geräte sich versuchen zu registrieren:
{| class="wikitable" style="width:550px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''  
|-
|
<pre style="background-color:#252269;color: #FFFFFF">
config system global
    set fgfm-deny-unknown enable
end
</pre>
{| class="wikitable" style="width:500px"
|-
| style="width:50px;background-color: #FF7730;"| <span>[[File:wichtig.svg|50px|link=]]</span>
| style="background-color: #FFB991"|
Wenn du diese Einstellung aktivierst, verhindert FortiManager, dass sich ein FortiGate-Gerät registriert, falls dessen Seriennummer nicht in der Geräteliste hinterlegt ist, selbst wenn das Modellgerät und der vorab geteilte Schlüssel (PSK) übereinstimmen.
|}
|}


=== FortiGate/FortiManager IPS Engine update Januar/Februar 2014? ===
'''Massnahme 2''':</br>
Für alle FortiManager ab der Version 7.2.0 kannst du Abhilfemassnahmen ergreifen, indem du lokale Firewallregeln (Local-In-Regeln) erstellst.
Damit kannst du die IP-Adressen der FortiGate-Geräte, welche eine Verbindung herstellen dürfen, auf eine Freigabeliste zu setzen.


IPS Engine Updates werden über FortiGuard für Customer mit gültigen FortiGuard Service periodisch zur Verfügung gestellt. Dabei handelt es sich nicht um die IPS Signaturen sondern die Engine selber. Die nächste zur Verfügung stehenden IPS Engine Update Version ist die Version 2.174. Diese Engine wird allen FortiGate Devices mit FortiOS 5 sowie FortiOS 4.3.12 oder höher gemäss nachfolgenden Zeitplan automatisch zur Verfügung gestellt:
Alternativ kannst du dies auch über einer externen Firewall welche vor dem FortiManager platziert ist, im Regelset konfigurieren.


        January 27th 10:00 PST – Remaining FortiGate units running 4.3.12 or later patch releases
Um eine lokale Firewallregel auf dem FortiManager zu konfigurieren, die Verbindungen von einem bekannten Subnetz, z. B. 198.18.250.0/24 (Verwaltungsnetzwerk),
        January 29th 10:00 PST – Premium support customer devices running 4.3.12 or later patch releases
sowie der spezifischen IP-Adresse 10.250.17.2 (FortiGate-Gerät) zulässt, verwende folgende Regeln:
         February 10th 10:00 PST – All FortiManager’s running 4.3.x or 5.0.x software and providing IPS packages to FortiGates running 4.3.12 or later patch releases and all 5.0 versions
{| class="wikitable" style="width:850px"
          
|- style="background:#89E871"
         '''NOTE''' In seltenen Fällen kommt es zu kurzfristigen "High CPU" Situation der IPS Engine. Diese "High CPU" Situation
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
            sind nur vorübergehender Natur dh. wenn die "High CPU" Situation permanent besteht siehe nachfolgender Artikel:
|-
           
|
            [[FortiGate-5.0-5.2:FAQ#Wie_kann_ich_rausfinden_was_ein_High_CPU_verursacht_und_was_kann_ich_dagegen_tun.3F]]
<pre style="background-color:#252269;color: #FFFFFF">
config system local-in-policy
    edit 1
        set action accept
         set src 198.18.250.0/24
        set dport 443  <--- WebGui Adminport
    next
    edit 2
        set action accept
        set src 198.18.250.0/24
         set dport 22  <--- SSH Adminport
         next
    edit 3
        set action accept
        set src 10.250.17.2/32
        set dport 541  <--- Erlaube nur TCP/541 von bekannten FortiGate-IP-Adressen.
      next
    edit 4
      next
end
</pre>
{| class="wikitable" style="width:750px"
|-
| style="width:50px;background-color: #276ef1;"| <span>[[File:info.svg|50px|link=]]</span>
| style="background-color: #A9C5F9"|
Es ist wichtig zu beachten, dass die Regel '''4''' im Beispiel alle Einstellungen auf "Standard" hat.</br>
Dadurch wird diese zu einer expliziten Drop-Regel, die den Zugriff von allen anderen IP-Adressen blockiert.
|}
|}


Wenn Probleme erwartet werden auf der FortiGate etc. kann das automatische Update ebenfalls komplett deaktiviert werden und manuell innerhalb eines Wartungsfenster installiert werden. Dazu stellt Fortinet folgenden Link zur Verfügung um das Packet über folgende Position manuell einzuspielen:
Weitere Informationen betreffend Local-In-Regeln auf dem FortiManager findet man im CLI Guide:
* https://docs.fortinet.com/document/fortimanager/7.6.0/cli-reference/68140/local-in-policy


        ftp://ftp-temp:r3triev3@support.fortinet.com/CustomerCare/flen-400-2.0174.pkg
'''Massnahme 3''':</br>
       
Für Versionen 7.2.2 und höher, 7.4.0 und höher, 7.6.0 und höher ist es auch möglich, ein benutzerdefiniertes Zertifikat zu verwenden, um die Sicherheitslücke zu beheben:
        Einzuspielen über die Position:
       
        System > Config > FortiGuard > FortiGuard Subscription Services > IPS Definitions > Update


Um nachträglich die IPS Version auf dem FortiGate Device zu Ueberprüfen kann folgender Befehl auf der CLI ausgeführt werden:
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre style="background-color:#252269;color: #FFFFFF">
config system global
set fgfm-ca-cert <Zertifikat>
set fgfm-cert-exclusive enable
end
</pre>
|}
*Installiere dieses Zertifikat auf den FortiGate-Geräten.
*Nur dieses CA-Zertifikat wird akzeptiert.
*Dies bietet einen zusätzlichen Schutz, sofern der Angreifer kein Zertifikat erhält, das von dieser CA signiert wurde.
{| class="wikitable" style="width:850px"
|-
| style="width:50px;background-color: #276ef1;"| <span>[[File:info.svg|50px|link=]]</span>
| style="background-color: #A9C5F9"|
Für FortiManager-Versionen 6.2, 6.4 und 7.0.11 und darunter, führe bitte ein Upgrade auf eine der oben genannten Versionen durch und wende die entsprechenden Workarounds an.
|}
----
'''Weitere Informationen findet man unter folgenden externen Artikeln:'''<br>
<small>
PSIRT - FortiGuard:
* https://fortiguard.fortinet.com/psirt/FG-IR-24-423 <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small>
Informationen  CVE-2024-47575
* https://www.cve.org/CVERecord?id=CVE-2024-47575 <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small>
Informationen auf Heise.de:
* https://www.heise.de/news/FortiManager-Update-schliesst-offenbar-bereits-attackierte-Sicherheitsluecke-9990393.html <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small>
Google:
* https://cloud.google.com/blog/topics/threat-intelligence/fortimanager-zero-day-exploitation-cve-2024-47575/?hl=en <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small>
</small>
----
<small>add 14.10.2024 - 4Tinu</small>
|}
{| class="wikitable" style="width:100%"
|-
| style="width:100px;background-color: #f2f79d;vertical-align:top"| <span style="color:#ffbb98">[[File:vulnerability.svg|100px|link=]]</span>
|
=== Sicherheitsluecke Heap buffer overflow in sslvpn pre-authentication - CVE-2023-27997===
[[Datei:new.svg|40px|link=]]
----
<big>'''Problembeschreibung:'''</big>  <br>
Eine neue kritische Sicherheitslücke, die derzeit noch nicht öffentlich bekannt ist, betrifft Fortinets Fortigate-Firewalls, genauer gesagt die SSL-VPN-Funktionen.


        # get syst auto-update version
Die Sicherheitslücke ermöglicht es auf allen FortiGate mit aktivem SSL-VPN sich ohne Authentifizierung diese Schwachstelle auszunutzen.
        IPS Attack Engine
        --------- Version: 2.00137


Diese Ankündigung wurde von Fortinet unter folgendem Customer Support Bulletin herausgegeben '''CSB-140110-1'''.
<big>'''Bedrohungslevel:'''</big>  <br>
Der Schweregrad der Sicherheitslücke wird mit '''9.3''' !! eingestuft


=== Fortinet Information Disclosure Vulnerability in OpenSSL? ===
<big>'''Betroffene Systeme:'''</big><br>
'''FortiOS Versionen:'''
* FortiOS Version 7.2.0 bis 7.2.4
* FortiOS Version 7.0.0 bis 7.0.11
* FortiOS Version 6.4.0 bis 6.4.12
* FortiOS Version 6.0.0 bis 6.0.16
* Das FortiOS 7.4.0 ist nicht betroffen.
'''FortiProxy Versionen: '''
* FortiProxy Version 7.2.0 bis 7.2.3
* FortiProxy Version 7.0.0 bis 7.0.9
* FortiProxy Version 2.0.0 bis 2.0.12
* FortiProxy 1.2 alle Versionen
* FortiProxy 1.1 alle Versionen
'''FortiOS-6K7K Versionen:'''
* FortiOS-6K7K Version 7.0.10
* FortiOS-6K7K Version 7.0.5
* FortiOS-6K7K Version 6.4.12
* FortiOS-6K7K Version 6.4.10
* FortiOS-6K7K Version 6.4.8
* FortiOS-6K7K Version 6.4.6
* FortiOS-6K7K Version 6.4.2
* FortiOS-6K7K Version 6.2.9 bis 6.2.13
* FortiOS-6K7K Version 6.2.6 bis 6.2.7
* FortiOS-6K7K Version 6.2.4
* FortiOS-6K7K Version 6.0.12 bis 6.0.16
* FortiOS-6K7K Version 6.0.10
<small>Liste wurde von [https://www.fortiguard.com/psirt/FG-IR-23-097| hier] entnommen:</small>


Betreffend Details zu diesem "Vulnerability" siehe nachfolgender Artikel:
<big>'''Workaround:'''</big><br>
Das SSL-VPN auf der FortiGate deaktivieren, bis das Gerät auf einer der unter '''Lösung''' aufgeführten FortiOS Versionen, upgedatet werden kann.


      [[Fortinet:Support-Alerts#Fortinet_.22Heartbleed.22_OpenSSL_Vulnerabilitly_Remote_Memory_Disclosure_Vulnerability_8._April_2014_.28CVE-2014-0160.29.3F]]
<big>'''Lösung:'''</big><br>
Um die Sicherheitslücke im betroffenen FortiOS zu schliessen auf einer der folgenden FortiOS Versionen updaten.
'''FortiOS'''
* 7.2.5  -> [https://docs.fortinet.com/document/fortigate/7.2.5/fortios-release-notes/760203/introduction-and-supported-models| ReleaseNotes 7.2.5]
* 7.0.12 -> [https://docs.fortinet.com/document/fortigate/7.0.12/fortios-release-notes/760203/introduction-and-supported-models| ReleaseNotes 7.0.12]
* 6.4.13 -> [https://docs.fortinet.com/document/fortigate/6.4.13/fortios-release-notes/760203/introduction-and-supported-models| ReleaseNotes 6.4.13]
* 6.2.15 -> [https://docs.fortinet.com/document/fortigate/6.2.15/fortios-release-notes/760203/introduction-and-supported-models| ReleaseNotes 6.2.15]
* 6.0.17 -> [https://docs.fortinet.com/document/fortigate/6.0.17/fortios-release-notes/760203/introduction| ReleaseNotes 6.0.17]<small>EoS</small>
'''FortiProxy'''
* FortiProxy 7.2.4 oder höher -> [https://docs.fortinet.com/document/fortiproxy/7.2.4/release-notes/146706/introduction| ReleaseNotes 7.2.4]
* FortiProxy 7.0.10 oder höher -> [https://docs.fortinet.com/document/fortiproxy/7.0.10/release-notes/146706/introduction| ReleaseNotes 7.0.10]
* FortiProxy 2.0.13 oder höher -> [https://docs.fortinet.com/product/fortiproxy/2.0| Momentan keine Release Notes für die 2.0.13 Version auf den Docs]
'''FortiOS-6K7K'''
* FortiOS-6K7K 7.0.12 oder höher -> [https://docs.fortinet.com/product/fortigate/7.0| Momentan keine Release Notes für die 7.0.12 Version auf den Docs]
* FortiOS-6K7K 6.4.13 oder höher -> [https://docs.fortinet.com/product/fortigate/6.4| Momentan keine Release Notes für die 6.4.13 Version auf den Docs]
* FortiOS-6K7K 6.2.15 oder höher -> [https://docs.fortinet.com/product/fortigate/6.2| Momentan keine Release Notes für die 6.2.15 Version auf den Docs]
* FortiOS-6K7K 6.0.17 oder höher -> [https://docs.fortinet.com/product/fortigate/6.0| Momentan keine Release Notes für die 6.0.17 Version auf den Docs]
<big>'''Weitere empfohlene Massnahmen:'''</big><br>
Neben der Überwachung von Sicherheitshinweisen und dem sofortigen Patchen von Systemen empfiehlt Fortinet dringend Folgendes:
* Überprüfen der Systeme auf Hinweise auf die Ausnutzung früherer Schwachstellen, z.B. FG-IR-22-377 / CVE-2022-40684
* Achte auf eine eine gute Cyber-Hygiene und befolge die Patching-Empfehlungen der Hersteller.
* Befolge die Hardering Empfehlung wie solche vom FortiOS Hardening Guide 
** [[Datei:FortiGate-BestPractices-62.pdf]] [[File:FortiOS_62.svg|20px|link=]] <small>6.2.13</small>
** [[Datei:FortiGate-BestPractices-64.pdf]] [[File:FortiOS_64.svg|20px|link=]]
** [[Datei:FortiGate-BestPractices-70.pdf]] [[File:FortiOS_70.svg|20px|link=]] <small>7.0.11</small>
** [[Datei:FortiGate-BestPractices-72.pdf]] [[File:FortiOS_72.svg|20px|link=]] <small>7.2.5</small>
** [[Datei:FortiGate-BestPractices-74.pdf]] [[File:FortiOS_74.svg|20px|link=]] <small>7.4.0</small>
** [[Datei:FortiGate-Hardening-60.pdf]] [[File:FortiOS_60.svg|20px|link=]]
** [[Datei:FortiGate-Hardening-64.pdf]] [[File:FortiOS_64.svg|20px|link=]]  
* Minimiere die Angriffsfläche, indem ungenutzte Funktionen deaktivieren werden. (zum Beispiel das SSL-VPN)
* Benutze ein Out of Band Netz für das Managen der Geräte. (Dediziertes Management Netz, welches von allen anderen Netzen abgeschotet ist)
----
'''Weitere Informationen findet man unter folgenden externen Artikeln:'''<br>
<small>
Heise DE:
* https://www.heise.de/news/Fortinet-SSL-VPN-Luecke-ermoeglicht-Codeschmuggel-9184284.html
PSIRT - FortiGuard:
* https://www.fortiguard.com/psirt/FG-IR-23-097
* https://www.fortinet.com/blog/psirt-blogs/analysis-of-cve-2023-27997-and-clarifications-on-volt-typhoon-campaign
CVE:
* https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-27997
* https://www.cve.org/CVERecord?id=CVE-2023-27997
</small>
----
<small>edit 22.05.2025 - 4Tinu</small>
|}


Weitere Informationen findet man im foglenden Support Alert Dokument:
== Support Alert ==
=== Was ist die Fortinet Support Bulletin Anouncing Page? ===
Fortinet Support Bulletin Announcing Page ist eine Seite in der Fortinet von Zeit zu Zeit wichtige Informationen zu BugFixes, Critical Bugs im Zusmmenhang mit dem Support der Fortinet Produkte lanciert:
* https://support.fortinet.com/EndUser/Bulletin.aspx


      [[Datei:CSB-140408-1_OpenSSL_Vulnerability.pdf]]
=== Support Alert Meldungen ===
Hier findet man die Support Alert Meldungen welche wir noch ein wenig mit Hintergrund Informationen versuchen zu ergänzen:
{| class="wikitable" style="width:100%"
|-
| style="width:100px;background-color: #f2f79d;vertical-align:top"| <span style="color:#ffbb98">[[File:achtung.svg|100px|link=]]</span>
|
=== FortiOS 7.0.4 Proxy-Modus Applikations Kontrolle - CSB-220207-1 ===
----
'''Beschreibung:'''<br>
Beim FortiOS 7.0.4 gibt ein potenzielles Problem mit Applikationscontroll Profile welche im Proxymodus verwendet werden.
Dabei werden SSL-insertifizierte Session vorzeitig geschlossen, was zu einem Unterbruch des Datentraffics führt.
Das Verhalten wird möglicherweise nicht sofort nach dem Upgrade auf 7.0.4 sichtbar sein.


=== FortiGuard Updates für FortiOS 3.0 End Of Life? ===
Profile im '''Flow Modus''' sind davon nicht betroffen:


Fortinet kündigt an, dass die Antivirus Engine (AVE) und IPS Engine (IPSE) im Zusammenhang mit FortiOS 3.0 end of life geht (Juli 2014). Bis Januar 2015 werden keine AV-Engine und/oder IPS-Engine Signaturen Packages für FortiOS 3.0 zur Verfügung gestellt. Ab Januar 2015 wird der Support für FortiOS 3.0 im Zusammenhang mit AV-Engine/IPS-Engine sowie Signaturen Package im FortiGuard Distribution Network komplett eingestellt.
'''Betroffene Produkte:'''<br>
* FortiGate
'''Betroffene Betriebsysteme'''<br>
* FortiOS 7.0.4


Folgende Produkte sind betroffen:
'''Workaround im 7.0.4:'''
* Anstatt Proxy basierte Profile momentan Flow basierte Profile benutzen.
* Wenn das Problem auftritt, kann vorübergehend das starten des Wad-Proxy helfen:
* <code> diag test application wad 99 </code>


        Alle FortiGate Modelle mit installiertem FortiOS 3.0
{| class="wikitable" style="width:800px"
        Letzte unterstützte Engine Version basiernd auf FortiOS 3.0 - 3.0 MR5:
|- style="background:#89E871"
       
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
        IPS Engine: 1.097
|-
        AV Engine: 3.010
|
<pre>
diagnose test application wad 99
</pre>
|}


        Letzte unterstützte Engine Version basiernd auf FortiOS 3.0 MR6:
'''Lösung:'''<br>
       
Im FortiOS 7.0.5 ist dieses Problem behoben. Daher empfehlen wir von 7.0.4 auf 7.0.5 upzugraden
        IPS Engine: 1.129
* https://docs.fortinet.com/document/fortigate/7.0.5/fortios-release-notes/289806/resolved-issues
        AV Engine: 3.010
* Release Notes: [[Datei:FortiOS-Release-Notes-Version-7.0.5.pdf]]
*  Vor dem Upgrade ein Backup erstellen : [[FortiGate:FAQ#Wie_kann_ich_das_Konfigurationsfile_von_der_FortiGate_backupen.3F|Wie kann ich das Konfigurationsfile von der FortiGate backupen?]]
----
<small>Quelle:</small><br>
<small>''https://support.fortinet.com/Information/Bulletin.aspx Bulletin CSB 220207-1 vom 9.2.2022''</small>
<!-- add 17.02.2022 4tinu -->
|}
{| class="wikitable" style="width:100%"
|-
| style="width:100px;background-color: #f2f79d;vertical-align:top"| <span style="color:#ffbb98">[[File:achtung.svg|100px|link=]]</span>
|


Fortinet empfiehlt allen Kunden ein Upgrade auf 4.0 oder höher. Diese Ankündigung wurde von Fortinet unter folgendem Customer Support Bulletin herausgegeben '''CSB-140514-1''':
===Zugriff auf Websites mit SSL-Überprüfung blockiert ===
----
Es scheint ein anhaltendes Problem mit der Zertifikatskette einer Stammzertifizierungsstelle (ISRG Root X1) zu geben.  
Dieses Problem betrifft alle Anbieter von SSL-Inspektionsprodukten, unabhängig davon Full-Inspektion oder Zertifikats Inspektion verwendet wird.


      [[Datei:CSB-140514-1_FGD_updates_30_.pdf]]
{| class="wikitable" style="width:800px"
|-
| style="width:100px;background-color: #f2f79d;vertical-align:top"| <span style="color:#ffbb98">[[File:achtung.svg|100px|link=]]</span>
|
Dieser Issue wird mit den folgenden FortiOS Releases behoben:
* FortiOS 6.2.10 
* FortiOS 6.4.8
* Im FortiOS 7.0.3 ist der Bug leider immer noch enthalten.
Genaueres findet man in den Release Notes der entsprechenden Versionen unter Know Issues und Resolved Issues
|}


=== FortiDDoS upgrading to 4.1.0 / 4.1.1 ===


Fortinet hat ein Support Bulletin herausgegeben betreffend FortiDDoS Upgrade auf 4.1.0 / 4.1.1. In diesem Support Bulletin wird darauf hingewiesen, dass beim einem Upgrade für FortiDDoS 4.1.0 / 4.1.1 den Release Notes strikte zu folgen ist speziell betreffend Bios Konfiguration. Um den Upgrade Prozess einfach zu gestalten hat Fortinet dieses Upgrade aus dem Downloadbereich entfernt. Kunden die in der Zwischenzeit ein Upgrade betreffend FortiDDoS 4.1.0 / 4.1.1 durchführen wollen müssen -da das Image über den Downloadbereich nicht mehr zur Verfügung steht- ein Ticket eröffnen. Nach dem eröffnen des Tickets erhält der Kunde Hilfe wie das Upgrade durchzuführen ist sowie das Image für das Upgrade selber. Diese Ankündigung wurde von Fortinet unter folgendem Customer Support Bulletin herausgegeben CSB-140702-1 / CSB-140728-1:
'''Es besteht folgender Workaround (Stand 05.10.21)''':


      [[Datei:CSB-140702-1_FDD_upgrade.pdf]]


=== FortiGate FortiOS 5.2.1 "IPSec tunnels (DHCP interface) do not come up after reboot"? ===
Das ''Certificate Bundle'' (Version 1.28), welches die ''Expired Certificates'' ersetzt, ist neu auf FortiGuard erhältlich, und wird im Rahmen geplanter FortiGuard-Updates automatisch heruntergeladen.  


Fortinet hat ein Support Bulletin rausgebracht betreffend FortiOS 5.2.1 im Zusammenhang mit IPSec und DHCP Interface. Wenn ein IPSec Tunnel konfiguriert wird basierend auf einem FortiGate Interface (zB wan1) das dessen IP über DHCP bekommt wird der IKE Deamon/Service nach einem Neustart der FortiGate nicht mehr gestartet. Der Grund dafür ist der Folgende: Nach dem Neustart versucht der IKE Deamon den lokalen Gateway zu verifizieren. Da dies nicht möglich ist wird der IKE Deamon/Service nicht gestartet. Dieser Umstand betrifft "nur" Interface's die Ihre IP über einen DHCP Server bekommen dh. Interface's die statisch konfiguriert sind, sind nicht betroffend von diesem Umstand. Dieses Problem ist bekannt unter Bug ID:
Um dies zu valideren, ist folgender CLI-Befehl zu verwenden:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI
|-
|
<pre>
# diagnose autoupdate versions | grep -A5 '^Cert'


        Reference Bug ID: 254898
Certificate Bundle
---------
Version: 1.00028
</pre>
|}


        '''Affected Products:'''
        Alle FortiGate basierend auf FortiOS 5.2.1 (FortiOS 5.2.0 ist nicht betroffen)


        '''Workaround:'''
Um das ''Certificate Bundle'' manuell upzudaten, ist folgender CLI-Befehl zu verwenden:
        Um diesem Bug entgegenzutreten gibt es vers. Workaround:
{| class="wikitable" style="width:800px"
       
|- style="background:#89E871"
        Workaround 1: Nachdem Neustart/Reboot muss der IKE Deamon manuell neu gestartet werden:
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI
                      Benütze auf der Kommandozeile folgendes Kommando:
|-
                     
|
                      # diagnose sys top 20 40
<pre>
                      # diagnose sys kill -9 <pid>
# execute update-now
                     
</pre>
                      Beispiel:
|}
                      # diagnose sys top 20 40
                      ...
                      iked 70 S 0.0 1.1
                      # diag sys kill -9 70
                     
                      '''NOTE''' Um die Prozess ID des IKE Deamons/Service zu erurieren kann ebenfalls folgender Befehl benützt werden:
                         
                          # fnsysctl more /var/run/iked.pid
                          70
       
        Workaround 2: Roll-back resp. Downgrade auf 5.2.0 (Diesen Weg empfehlen wir nicht).
        Workaround 3: Sofern möglich Konfiguration einer "statischen" IP auf dem FortiGate Interface.


        '''Resolution:'''
        Dieser Bug mit der ID 254898 wird in FortiOS 5.2.2 behoben sein. Release Datum für diese Version ist voraussichtlich 10. Oktober 2014.


Diese Ankündigung wurde von Fortinet unter folgendem Customer Support Bulletin herausgegeben '''CSB-140924-1''':
Sobald das ''Certificate Bundle'' upgedatet wird, ist der Workaround anwendbar. Um sicherzustellen, dass das ''Expired Root CA'' nicht mehr verwendet wird, ist ''DNS Blackholing'' notwendig, welches FortiGate den Zugang zu ''apps.identrust.com'' blockiert.


      [[Datei:CSB-140924-1_IPSec_DHCP_Interface.pdf]]
Folgend ein '''Beispiel''' einer möglichen Konfiguration:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI
|-  
|
<pre>
config system dns-database
edit "1"
set domain "identrust.com"
set authoritative disable
config dns-entry
edit 1
set hostname "apps"
set ip 127.0.0.1
next
end
next
end


=== FortiGate-100D 4th Generation Supported Code Versions (Inkompatibilität zu FortiOS Versionen)? ===
*Hinweis: Sobald apps.identrust.com keine Expired CA Certificates mehr sendet, kann die Konfiguration entfernt werden
*Hinweis: Mittels Teil-Befehl "set authoritative disable" werden andere FQDNs (z.B. commercial.ocsp.identrust.com) weiterhin resolved
</pre>
|}


Fortinet hat für die FG-100D eine 4te Generation released. Bei diesem Release der Hardware sprich der 4ten Generation "kann" eine Inkompatibilität auftreten mit vers. FortiOS Versionen. Wenn so eine Inkompatibilität existiert/eintritt kann der Device nicht ordnungsgemäss Neu gestartet werden (unit fails to boot-up).


        '''Affected Products:'''
Sobald das oben-erwähnte ''DNS Blackholing'' aktiviert wird, können folgende (vorher getätigte) Änderungen wieder rückgängig gemacht werden:  
        FG-100D in der 4ten Generation können folgendermassen Identifiziert/verifiziet werden:
       
        # get system status
       
        Wenn im Output folgende Part Nummer erscheint handelt es sich um eine FG-100D in der 4ten Generation:
       
        Part Number:  P11510-04
       
        Eine FortiGate-100D in der 4ten Generation trägt die folgende Hardware ID:
       
        Hardware ID:  C4LL40-04AA-0000
       
        Folgende Serien Nummern sind betroffen:
       
        Serial Number:  FG100D3G14812216 und höher
       
        Ebenfalls sind folgende Serien Nummern betroffen:
       
        FG100D3G14808002
        FG100D3G14808003
        FG100D3G14808005
        FG100D3G14808006
        FG100D3G14808007
        FG100D3G14808008
        FG100D3G14808009
        FG100D3G14808010
        FG100D3G14808011
        FG100D3G14808013
        FG100D3G14808014
        FG100D3G14808015


        '''Affected Products:'''
1) Von '''Proxy''' zu '''Flow''' Inspection
        FortiOS Versionen 4 MR3 ausser 4 MR3 Patch 18
        FortiOS Versionen 5.0 ausser 5.0 Patch 8


        '''Resolution:'''
2) Zwischenzeitliches Erlauben von '''Expired Certificates'''
        Update oder neu Staging des Devices auf FortiOS 4 MR3 Patch 18 und/oder FortiOS 5.0 Patch 8


Diese Ankündigung wurde von Fortinet unter folgendem Customer Support Bulletin herausgegeben '''CSB-141117-1''':


      [[Datei:CSB-141117-1-100D-Supported-Code-Version.pdf]]


=== FortiGate FG-80C fails to load FortiOS image 5.2.x? ===
Mehr Details zu den oberen Schritte findet man unter folgendem Link:


Fortinet hat ein Support Bulletin rausgebracht betreffend FortiOS 5.2 im Zusammenhang mit dem Upgrade Prozess auf 5.2.0, 5.2.1, or 5.2.2 einer FortiGate/WiFi 80C. Dies bedeutet: Wird ein Upgrade durchgeführt auf die genannten Versionen und der Device der FortiGate/WiFi 80C verfügt über ein Bios Version "4000007" oder tiefer "kann" es zu einem Fehler führen. Die Bios Version kann mit folgenden Kommando "vor" einem Upgrade verifiziert werden:
https://kb.fortinet.com/kb/documentLink.do?externalID=FD53305 -> "Technical Tip: Expiring Let’s Encrypt Certificates"


      # get sys status
      Version: FortiWiFi-80CM v5.0,build0292,140801 (GA Patch 9)
      Virus-DB: 16.00560(2012-10-19 08:31)
      Extended DB: 1.00000(2012-10-17 15:46)
      IPS-DB: 4.00345(2013-05-23 00:39)
      IPS-ETDB: 0.00000(2001-01-01 00:00)
      Serial-Number: FW80CM3900000000
      Botnet DB: 1.00000(2012-05-28 22:51)
      '''BIOS version: 04000006'''
      Log hard disk: Not available


        '''Affected Products:'''
'''Wichtig''': Falls das Problem weiterhin auftaucht, muss eventuell noch der '''IPS''' und '''WAD Cache''' gelehrt werden (siehe Details im oben-erwähnten KB-Artikel/Link)
        FortiGate: FG-80C, FG-80CM
        FortiWiFi: FW-80CM, FW-81CM


        '''Resolution:'''
        Die Software Version resp. Image der "Affected Products" wurden neu erstellt basierend auf FortiOS 5.2.2 und über den Download
        Bereich neu zur Verfügung gestellt. Die neu erstellten Images tragen das Datum vom 6. Januar 2015. Somit sollten alle vorhandenen
        Images die ein früheres Datum tragen gelöscht werden.


Diese Ankündigung wurde von Fortinet unter folgendem Customer Support Bulletin herausgegeben '''CSB-150109''':
Weitere, generelle Informationen findet man unter folgendem Link:


      [[Datei:CSB-150109-1_FG-80C_failes_to_load.pdf]]
https://www.fortinet.com/blog/psirt-blogs/fortinet-and-expiring-lets-encrypt-certificates


=== FortiAnalyzer Limited Support for Remote SQL Database? ===
''Danke an Stefanie vom TAC Frankfurt, welche uns diese Information zugestellt hat''
|}


Ab der FortiAnalyzer Versionen 5.0.7 und 5.2.0, werden Remote SQL Datenbank nur dahingehend unterstützt, dass "ausschliesslich" die Log Informationen in die SQL Datenbank geschrieben werden. Dies bedeutet: Funktionen wie "Historische Log Suche" und "Reporting Möglichkeiten" werden ab den genannten Versionen nicht mehr unterstützt.
{| class="wikitable" style="width:100%"
|-
| style="width:100px;background-color: #f2f79d;vertical-align:top"| <span style="color:#ffbb98">[[File:achtung.svg|100px|link=]]</span>
|


        '''Affected Products:'''
=== FortiAP Wireless Access Point upgrade Issue with HPE PoE Switches -  CSB-210127-1===
        Alle FortiAnalyzer Versionen inkl. Devices ab der Version 5.0.7 sowie 5.2 die eine "Remote SQL Datenbank" benutzen.
----
Wenn der Power over Ethernet (PoE)-Switch der Marke Hewlett Packard Enterprise (HPE) während eines Upgrades
für mehr als 120 Sekunden keine LLDP-Antwort (Link Layer Discovery Protocol) empfängt, kann er
die angeschlossenen FortiAP-Einheiten einseitig zurücksetzen oder ausschalten. Dies kann zum Anhalten des Upgrades
auf halbem Weg abbricht und somit zu einem Upgrade-Fehler führen kann. Dieses Problem kann auftreten, wenn ein Upgrade versucht wird
von einer beliebigen Software-Version 6.4.2 oder früher. Wenn die FortiAP-Einheit nicht mehr reagiert, wenden Sie sich bitte an den
Technischen Support von Fortinet.


        '''Resolution:'''
        Es wird empfohlen die "Locakle Datenbank" eines FortiAnalyzer's zu benutzen.


Diese Ankündigung wurde von Fortinet unter folgendem Customer Support Bulletin herausgegeben '''CSB-150204-1''':
Es kann ein Problem geben, wenn man einen FortiAP an einem POE-Switch von Hewlett Packard Enterprise (HPE) angeschlossen hat und den FortiAP upgraden will. Das Problem zeigt sich, wenn der FortiAP welcher am upgraden ist,
für mehr als 120 Sekunden keine LLPD Antwort ((Link Layer Discovery Protocol)) empfängt. Der FortiAP kann sich einseitig zurück setzen oder wird ausgeschalten. Dies kann zum stop oder Unterbruch des Upgrades führen und generiert so einen Upgrade Fehler.
Dieses Problem kann auftreten wenn ein FortiAP von einer x-beliebigen Software bis 6.4.2 einen upgrade durchführt.


      [[Datei:CSB-150204-1-FAZ-Remote-SQL.pdf]]
Falls dieses Problem auftritt und der FortiAP nicht mehr reagiert, kann man sich an den TAC Support von Fortinet wenden. (Ticket mit der Serienummer des betroffenen FortiAP eröffnen.


=== FortiGate Axcen SFP (SX) Transceiver may fail to bring link up? ===
'''Betroffene Produkte:'''
* Alle FortiAP Modelle der Serie E
* FortiAP 431F und 433F


Für alle erwähnten FortiGate Modelle "D" die einen Axcen SFP (SX) Transceiver benutzen mit der Part Nummer "AXGE-5854-0511" besteht ein Problem, dass der physische Link nicht aktiviert wird (link up).
'''Betroffene OS Versionen:'''
* FortiAP-W2 : 6.0 , 6.2, 6.4.0-6.4.2 (Für die E- Serie)
* FortiAP : 6.4 buld 5760 (für F-Serie 431F und 433F)


        '''Affected Products:'''
'''Workaround'''
        FortiGate Modelle FG300D, FG500D, FG1000D, FG1200D, FG1500D
Auf den HPE PoE-Switches müssen zuerst die LLDP-Funktion den Ports deaktivieren, auf welchem die FortiAP angeschlossen sind, welche upgegradet werden sollen.


        '''Resolution:'''
Alternativ kann man auch global die LLPD Funktion deaktivieren.
        In einigen Fällen kann der "link up" Status erfolgreich etabliert werden wenn die "speed" Einstellungen des Interface
        auf einen festen Wert gesetzt wird dh. 100 Full-Duplex oder 1000 Full-Duplex. In so einer Konstellation sollte darauf
        geachtet werden, dass der Switch ebenfalls auf diese festen Werte konfiguriert wird. Wenn dies nicht erfolgreich
        konfiguriert/durchgeführt werden kann so wird der SFP Transceiver über den RMA Prozess ausgetauscht.


Diese Ankündigung wurde von Fortinet unter folgendem Customer Support Bulletin herausgegeben '''CSB-150320-1''':
gesamten Switch.
----
'''Konfiguration auf dem HPE Switch:'''
{| class="wikitable"
! style=" width:550px; text-align:left; background:#89E871" |Konfiguration über CLI
|-
|
<pre>
lldp admin-status <PORT-LIST> txonly | rxonly | tx_rx | disable


      [[Datei:CSB-150320-1_Axcen_SFP_txer.pdf]]
lldp admin-status <POE Port an welchem der FortiAP angeschlossen ist> disable
</pre>
''Referenz: https://techhub.hpe.com/eginfolib/networking/docs/switches/K-KA-KB/15-18/5998-8160_ssw_mcg/content/ch06s12.html ''
|}
'''Lösung'''


=== All FortiGate Modesl Firewall Service Protocol Number Change? ===
Fortinet löst dieses Problem für FortiAP der Serie E im FortiOS FortiAP-W2 6.4.3 Build 0451<br>
Für die FortiAP 431F und 433F wird es im FortiAP 6.4.3 Build 0155 behoben.


In FortiOS 5.0.8 und 5.0.9 sowie 5.2.0 und 5.2.2 wurde der Standard Wert des "Firewall Service Protokoll" von 0 auf 6 geändert was wiederum da "6" TCP entspricht (0 = Alle Protokolle). Diese Aenderung spielt speziell bei einem Upgrade eine "wichtige" Rolle da sofern eine Firewall Policy implementiert wird mit dem Service "ALL" stand dieser "vor" einem Upgrade auf "Protokoll 0" was "Alle Protokollen" entpsricht und da nun durch die Aenderung der Wert auf "6" gesetzt wird ist nur noch "TCP" erlaubt. Auch ein Factory Reset löst dieses Problem nicht.
Nachdem alle betroffenen FortiAPs erfolgreich auf die Firmware Version 6.4.3 oder höher aktualisiert wurden, kann die LLDP-Funktion auf den Switches wieder aktiviert werden.


        '''Affected Products:'''
''Customer Support Bulletin CSB-210127-1 vom 27.Januar 2021''
        All FortiGate Modelle
|-
|}


        '''Resolution:'''
        Bei FortiOS 5.0.10 und 5.2.3 wurde dieser Standard Wert wieder auf die Ursprünglichen Wert von "0" gesetzt. Wenn ein
        Upgrade auf einer FortiGate - ausgehende von den betroffenen Versionen (FortiOS 5.0.8/9 FortiOS 5.2.0/2 Standard Wert
        6) - auf Version 5.0.10 oder 5.2.3 (Upgrade Path einhalten) durchgeführt wird, wird der Standard Wert auf den alten
        Wert "0" zurückgesetzt.


Diese Ankündigung wurde von Fortinet unter folgendem Customer Support Bulletin herausgegeben '''CSB-150402-1''':
{| class="wikitable" style="width:100%"
|-
| style="width:100px;background-color: #f2f79d;vertical-align:top"| <span style="color:#ffbb98">[[File:achtung.svg|100px|link=]]</span>
|


      [[Datei:CSB-150402-1_Service-Protocol-Number.pdf]]
=== FortiGuard Webserver nicht erreichbar===
----
'''Problem Beschreibung:'''


=== Some 90Ds do not finish booting (FortiOS 5.2)? ===
Wir haben viele Meldungen bekommen, dass wen auf FortiOS 6.4 upgegradet wird, es Probleme gibt die Webfilter Server der FortiGuard zu erreichen. Dadurch werden in den Firewall Regeln, welche einen Webfilter oder DNS Filter aktiv haben, diverse Anfragen verworfen. Dies liegt daran, dass die Anfrage einer Webseite welche Kategorie diese hat die FortiGuard Server keine Antwort senden und so diese Anfrage als '''unrated''' eingestuft wird. Je nach dem wie man jetzt den Webfilter/DNS-Filter konfiguriert hat, wird die Aktion ausgeführt, welche bei '''unrated''' konfiguriert wurde:
[[Datei:Fortinet-2857.jpg|link=]]


Betreffend dem Modell 90D gibt es im Zusammenhang mit FortiOS 5.2 ein Problem das verhindert, dass die 90D keinen korrekten Neustart ausführt. Nachfolgend die Details:
Wenn man auf FortiOS 6.4 upgradet wird der Kommunikationsport von der FortiGuard von udp8888 oder udp53 auf tcp443 geändert.
[[Datei:Fortinet-2856.jpg|link=]]
Diesen Port kann man im Webgui nicht mehr anpassen und muss über die CLI zurück auf udp 8888 oder udp 53 gesetzt werden.


        '''Affected Products:'''
'''Workaround'''
        FG-90D, FG-90D-POE, FW-90D, and FW-90D-POE
<pre>
 
config system fortiguard
        '''Description:'''
set fortiguard-anycast disable
        Der Systemstart wird nicht korrekt ausgeführt und auf der Konsole ist folgendes sichtbar:
set protocol udp
 
set port 8888
        1.Initializing firewall…
end
        2.System is starting...
</pre>
 
        '''Resolution:'''
        Upgrade der Firmware auf FortiOS 5.2.3. Dieses Upgrade sollte das Problem beheben. Bei weiteren Problemen ist der Customer
        Support zu kontaktieren!
 
Diese Ankündigung wurde von Fortinet unter folgendem Customer Support Bulletin herausgegeben '''CSB-150508-1''':
 
      [[Datei:CSB-150508-1-90D-no-boot.pdf]]
 
=== FG-80C fails to load FortiOS image 5.0.12 or 5.2.x? ===
 
Betreffend dem Modell 80C gibt es im Zusammenhang mit FortiOS 5.0.12 sowie 5.2.x ein Problem das verhindert, dass die 80C nach einem Upgrade auf die erwähnten Versionen keinen korrekten Neustart ausführt. Nachfolgend die Details:
 
        '''Affected Products:'''
        FG-80C, FG-80CM
 
        '''Description:'''
        Der Systemstart wird nicht korrekt ausgeführt bei Bios Versionen tiefer als "4000007". Um die Bios Versionen anzuzeigen
        führe folgendes aus:
        # get sys status
        Version: FortiWiFi-80CM v5.0,build0292,140801 (GA Patch 9)
        Virus-DB: 16.00560(2012-10-19 08:31)
        Extended DB: 1.00000(2012-10-17 15:46)
        IPS-DB: 4.00345(2013-05-23 00:39)
        IPS-ETDB: 0.00000(2001-01-01 00:00)
        Serial-Number: FW80CM3900000000
        Botnet DB: 1.00000(2012-05-28 22:51)
        '''BIOS version: 04000006'''
        Log hard disk: Not available
 
        '''Resolution:'''
        Die Software Image's für 5.0.12 betreffend Modelle FG-80C, FG-80CM, FW-80CM und FW-81CM wurden neu erstellt und tragen
        die Build Nummer 150709. Für die besagten Modelle sollten ausschliesslich nur dieses Image verwendet werden. Für FortiOS
        5.2.x wird ein neues Image released was geplant ist für den 21. July 2015.
 
Diese Ankündigung wurde von Fortinet unter folgendem Customer Support Bulletin herausgegeben '''CSB-150109''':
 
      [[Datei:CSB-150109-2_FG-80C.pdf]]
 
=== Partial Configuration Loss running 5.2.4 FortiGate/FortiWifi 20C, 30D, and 40C series? ===
 
FortiGate/FortiWifi Modelle 20C, 30D sowie 40C können Ihre Konfiguration bei einem Upgrade auf 5.2.4 Build Nummer 0688 (Datum 150722) betreffend IPSec Interface, Virtual Access Point Interface, Virtual Switch Interface sowie Loopback Interface verlieren. Dies geschieht speziell beim einem Neustart des Devices. Um die Version resp. Build Nummer sowie Datum zu überprüfen führe folgendes durch:
 
        # get system stat | grep 0688
        Version: FortiGate-20C v5.2.4,build0688,150722 (GA)
 
        '''Affected Products:'''
        FortiGate: FG-20C, FG-20C-ADSL, FG-30D, FG-30D-PoE, FG-40C
        FortiWiFi: FW-20C, FW-20C-ADSL, FW-30D, FW-30D-PoE, FW-40C
 
        '''Resolution:'''
        Für FortiOS 5.2.4 wurden die entsprechenden Images modifiziert dh. es muss darauf geachtet werden, dass nicht
        mehr die "alten" Images benützt werden. Die neuen Images tragen zwar die gleiche Build Nummer 0688 jedoch mit
        einem neueren Datum dh. "150730". Dies kann mit folgenden Befehl verifiziert werden:
       
        # get system status | grep 0688
        Version: FortiWiFi-30D v5.2.4,build0688,150730 (GA)
 
Diese Ankündigung wurde von Fortinet unter folgendem Customer Support Bulletin herausgegeben '''CSB-150730-1''':
 
      [[Datei:CSB-150730-1-Partial-Config-Loss.pdf]]
 
=== FortiGate HA failover after 497 days uptime? ===
 
Wenn ein FortiGate Device im HA Modus betrieben wird, können Fehler auftreten betreffend "heartbeat" sofern die Cluster Member über eine "system uptime" verfügen von über "497" Tage. Wenn dies auftritt werden in den Logs folgenden Meldungen gezeigt:
 
        15:54:10 0100037892 notice  Virtual cluster's member state moved
        15:54:08 0100037894 notice  Virtual cluster detected member join
        15:54:08 0100037899 notice  HA device(interface) peerinfo
        15:54:08 0100037899 notice  HA device(interface) peerinfo
        15:54:08 0100037901 critical Heartbeat device(interface) down
        15:54:08 0100037901 critical Heartbeat device(interface) down
        15:54:08 0100037893 notice  Virtual cluster detected member dead
 
Die gezeigten Meldungen indizieren einen "heartbeat failure" sowie ein "recovery" in kürzester Zeit. Um die Uptime auf einem Device zu eruieren führe folgendes Kommando aus:
 
        # get system performance status | grep Uptime
 
        '''Potentially Affected Products:'''
        Alle FortiGate's in einem HA Cluster Verbund
 
        '''Potentially Affected OS:'''
        FortiOS 4.3.16 oder Neuer, 5.0.5 oder Neuer, alle Versionen vis 5.2.4.
 
        '''Workaround:'''
        Neustart der Cluster Member
 
        '''Resolution:'''
        Diese Problem wird mit FortiOS 5.2.5 sowie 5.4.0 gelöst!
 
Diese Ankündigung wurde von Fortinet unter folgendem Customer Support Bulletin herausgegeben '''CSB-150807-1''':
 
      [[Datei:CSB-150807-1-FortiGate-HA-failover-497days.pdf]]


=== Probleme beim Aktivieren eines FortiTokenMobile 3.0.3 mit iOS Devices? ===
In gewissen Situationen musste die FortiGate neu gestartet werden, dass der Effekt eintraf.


Bei der Aktivierung eines FortiTokenMobile 3.0.3 (build 066) auf einem iOS Device kommt es zu Problemen und eine Fehlermeldung wird angezeigt:
[[Datei:Fortinet-2858.jpg|link=]]


        Resulting error: JSON Error: Invalid "mobile_id_hash"
{| class="wikitable" style="width:750px"
|-
| style="width:50px;background-color: #f8e7ea;"| <span style="color:#ba0c2f">[[File:achtung.png|50px|link=]]</span>
|
Es ist darauf zu achten, dass bei einer allfälligen Perimeter Firewall ausgehend der Port UDP-8888 freigeschalten werden muss.
|}
----
Fortinet ist dieses Problem bekannt und es wird daran gearbeitet eine Lösung zu finden.<br>
''Stand 3.11.2020''
|}
{| class="wikitable" style="width:100%"
|-
| style="width:100px;background-color: #f2f79d;vertical-align:top"| <span style="color:#ffbb98">[[File:achtung.svg|100px|link=]]</span>
|


        '''Resolution:'''
=== FortiOS 7.6.3 SSL-VPN to IPsec VPN Migration - CSB-250416-1 ===
        FortiTokenMobile 3.0.3 wurde aus dem Apple App Store entfernt und wird ab ca. ab 1. September wieder zur Verfügung gestellt.  
----
        Im Moment wird FortiTokenMobile 3.0.4 von Apple "reviewed" und solbald dies abgeschlossen ist wird Apple FortiTokenMobile 3.0.4
'''Beschreibung:'''</br>
        wieder im App Store zur Verfügung stellen. Normalerweise dauert dieses "review" von Apple ca. 1 Woche.
Mit der Einführung und Veröffentlichung von FortiOS 7.6.3 hat Fortinet die Unterstützung für VPNs konsolidiert, wobei bestehende SSL-VPN-Tunnelmodus-Konfigurationsoptionen nicht mehr funktionieren werden.  
Um ununterbrochenen Fernzugriff zu gewährleisten, musst Du Deine SSL-VPN-Tunnelmodus-Konfiguration vor dem Upgrade auf FortiOS 7.6.3 auf IPsec-VPN migrieren.  


Diese Ankündigung wurde von Fortinet unter folgendem Customer Support Bulletin herausgegeben CSB-150821-1:
Wenn Du den SSL-VPN-Webmodus verwendest, bleiben Deine bestehenden Konfigurationen nach dem Upgrade erhalten und funktional, da sie als agentenloses VPN betrieben werden.


        [[Datei:CSB-150821-1-FTM-303-Activation_Errors.pdf]]
Es ist entscheidend, dass Du vor dem Upgrade auf FortiOS 7.6.3 die notwendigen Schritte unternimmst, um Deine VPN-Konfiguration anzupassen.  


=== Adding Support for El Capitan in FortiClient (Mac OS X)? ===
Fortinet hat umfassende Dokumentationen und Leitfäden bereitgestellt, die Dir dabei helfen können, diesen Übergang reibungslos zu gestalten. Stelle sicher, dass Du die Kompatibilität
deiner aktuellen VPN-Lösungen überprüfst und gegebenenfalls die empfohlenen Anpassungen vornimmst.</br>
Zusätzlich bietet FortiOS 7.6.3 eine Reihe von Verbesserungen und neuen Funktionen, die die Leistung und Sicherheit Deines Netzwerks weiter steigern werden.
Das Upgrade auf IPsec-VPN ist nicht nur eine Notwendigkeit, sondern kann auch dazu beitragen, Deine Netzwerkarchitektur zukunftssicher zu gestalten.


Der momentan verfügbare FortiClient in der Version 5.2.4 beinhaltet keine Unterstützung für das neue MacOSx "El Capitan". Wenn der FortiClient in der Version 5.2.4 dennoch installiert wird wird auf dem MacOSx "El Capitan" werden ungewollte Neustarts des System ausgeführt. Um das Problem zu lösen "muss" der FortiClient deinstalliert werden. Als Alternative kann der embedded Cisco VPN Client benutzt werden dieser benötigt jedoch in der Phase1/2 eine neue Konfiguration.  
Falls Du Unterstützung bei der Migration benötigst, steht Dir das ALSO-Team zur Verfügung, um Dich durch den Prozess zu führen und sicherzustellen,
dass alle Deine Anforderungen erfüllt werden.</br>
Durch eine rechtzeitige und sorgfältige Vorbereitung kannst Du sicherstellen, dass der Übergang zu FortiOS 7.6.3 ohne Unterbrechungen oder Komplikationen erfolgt.


        '''Resolution:'''
'''Betroffene Produkte:'''</br>
        Die folgenden geplanten FortiClient Releases werdne das neue Betriebssytem von MacOSx unterstützen:
Alle FortiGate Modelle
        FortiClient 5.4.0 (Release Datum ca. 9. Oktober 2015)
        FortiClient 5.2.5 (Release Datum ca. ende Oktober 2015)


Diese Ankündigung wurde von Fortinet unter folgendem Customer Support Bulletin herausgegeben CSB-150821-1:  
'''Betroffenes FortiOS:'''</br>
FortiOS 7.6.3


        [[Datei:CSB-151006-FortiClient-El-Capitan-Support.pdf]]
'''Dokumentation Fortinet:'''
* [https://docs.fortinet.com/document/fortigate/7.6.0/new-features/155142/migration-from-ssl-vpntunnel-mode-to-ipsec-vpn-7-6-3 Migration SSL-VPN zu IPsec VPN] <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small>
* [https://docs.fortinet.com/document/fortigate/7.6.3/fortios-release-notes/173430/ssl-vpn-tunnel-modeno-longer-supported ReleaseNotes FortiOS 7.6.3] <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small>
* [https://support.fortinet.com/support/#/bulletin CSB-250416-1] <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small>
'''Dokumentation in diesem Wiki:'''
* [[FortiGate:FAQ#Wie_konfiguriere_ich_ein_Client_to_Site_IPsec_VPN_mit_IKE_Version_2%3F|Wie konfiguriere ich ein Client to Site IPsec VPN mit IKE Version 2?]] <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small>
----
<small>add 01.05.2025 - 4Tinu</small>
|}

Aktuelle Version vom 22. Juni 2026, 13:07 Uhr

Fortigate:Support-Alerts

Vorwort

Diese Seite informiert über Aktuelle Support Informationen sogenannte "Support Bulletin" von Fortinet!


Datenschutz

        *********************************************************************
        *                                                                   *
        *  THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY  *
        *      PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING,      *
        *    DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM     *
        *                  ALSO SCHWEIZ AG SWITZERLAND.                     *
        *                                                                   *
        *********************************************************************

"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung von der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht 
                         bekannt gemacht werden"

Nuetzliche Links

PSIRT Blog Fortinet:

kann auch als RSS Feed gezogen werden!

Fortinet Security Vulnerability Policy

Häufige Fragen werden hier beantwortet:'

Wenn ich eine Sicherheitslücke in einem Fortinet Produkt finde, kann ich diese über folgendes Formular direkt an Fortinet melden:

Customer Support Bulletin:

kann auch als RSS Feed gezogen werden!


add 28.10.2022 - 4Tinu

Psirt

Wieso soll ich meine Fortigate Systeme immer auf einem aktuellen Software Stand haben?

Beschreibung
Ein Bedrohungsakteur hat eine bekannte Schwachstelle ausgenutzt, um Lesezugriff auf anfällige FortiGate-Geräte zu implementieren. Dies wurde durch das Erstellen eines symbolischen Links erreicht, der das Benutzerdateisystem und das Root-Dateisystem in einem Ordner verbindet, der zum Bereitstellen von Sprachdateien für das ssL-VPN verwendet wird. Diese Änderung fand im Benutzerdateisystem statt und blieb unentdeckt. Daher könnte dieser symbolische Link zurückgeblieben sein, selbst wenn das Kunden-Gerät mit FortiOS-Versionen aktualisiert wurde, die die ursprünglichen Schwachstellen behoben haben, und dem Bedrohungsakteur weiterhin Lesezugriff auf Dateien im Dateisystem des Geräts ermöglichen, zu denen möglicherweise auch Konfigurationen gehören. Wichtig ist, dass der Kunde nicht betroffen ist, wenn ssL-VPN nie aktiviert war. Als Teil einer Untersuchung hat Fortinet Scans durchgeführt, um betroffene Geräte mithilfe interner Telemetrie und in Zusammenarbeit mit Drittorganisationen zu identifizieren. Die Daten zeigen, dass diese Bedrohungsakteur-Aktivität nicht auf eine bestimmte Region oder Branche abzielt.
Abhilfe
Nach der Entdeckung der neuen Technik, die der Bedrohungsakteur oben beschrieben verwendet hat, hat Fortinet Schritte unternommen, um dieses Problem zu mildern und unterschiedliche Ebenen der Cyber-Hygiene und Herausforderungen, denen der Kunde möglicherweise gegenübersteht, auszubalancieren. Zu den Minderungsmassnahmen von Fortinet gehören:

  • Ein AV/IPS-Signatur wurde erstellt, um diesen symbolischen Link auf betroffenen Geräten zu erkennen und zu bereinigen.
  • Änderungen wurden in die neuesten Releases aufgenommen, um den symbolischen Link zu erkennen und zu entfernen und sicherzustellen, dass das ssL-VPN nur die erwarteten Dateien bereitstellt.
  • Proaktive Kommunikation, die Kunden zum Aktualisieren ihrer Geräte auffordert, sorgfältig ausbalanciert, um gegen weitere unbeabsichtigte Kompromittierungen zu schützen, und gleichzeitig unser Engagement für verantwortungsvolle Transparenz erfüllt.

Speziell zu den in diesem Blog beschriebenen Ergebnissen (April 2025) hat Fortinet mehrere FortiOS-Abhilfemassnahmen veröffentlicht, darunter:

  • FortiOS 7.4, 7.2, 7.0, 6.4: Der symbolische Link wurde als bösartig vom AV/IPS-Engine markiert, sodass er automatisch entfernt wird, wenn die Engine lizenziert und aktiviert ist.
  • FortiOS 7.6.2, 7.4.7, 7.2.11 & 7.0.17, 6.4.16: Durch das Upgrade auf diese Version wird der bösartige symbolische Link entfernt.
  • FortiOS 7.6.2, 7.4.7, 7.2.11 & 7.0.17, 6.4.16: Die ssL-VPN-Benutzeroberfläche wurde modifiziert, um das Bereitstellen solcher bösartigen symbolischen Links zu verhindern.

Fortinet hat direkt mit Kunden kommuniziert, die nach den verfügbaren Telemetriedaten als von diesem Problem betroffen identifiziert wurden, und empfehlen ihnen, folgende Schritte zu unternehmen:

  • Alle Geräte auf 7.6.2, 7.4.7, 7.2.11 & 7.0.17 oder 6.4.16 upgraden.
  • Die Konfiguration aller Geräte überprüfen.
  • Alle Konfigurationen als potenziell kompromittiert betrachten und die empfohlenen Schritte unten befolgen, um sich zu erholen:
  • KB-Artikel Fortinet

Muss ich upgraden?
Es ist von entscheidender Bedeutung, dass alle Organisationen ihre Geräte auf dem neuesten Stand halten. Verschiedene Regierungsorganisationen haben berichtet, dass staatlich unterstützte Bedrohungsakteure alle Anbieter, einschliesslich bekannter, aber ungepatchter Schwachstellen, ins Visier nehmen. Im Allgemeinen ist die beste Verteidigung gegen jede bekannte Schwachstelle die Einhaltung guter Cyber-Hygiene-Praktiken, einschliesslich Upgrades. Der 2H 2023 Global Threat Landscape Report von FortiGuard Labs hat herausgefunden, dass Bedrohungsakteure durchschnittlich 4,76 Tage nach der öffentlichen Bekanntgabe einer neuen Schwachstelle eine bekannte Schwachstelle ausnutzen. In diesem Klima haben sowohl Anbieter als auch Kunden eine Rolle zu spielen. Anbieter müssen robuste Sicherheitsprüfungen in allen Phasen des Produktentwicklungslebenszyklus einführen und sich der verantwortungsvollen Transparenz in ihren Schwachstellenmeldungen widmen. Mit mehr als 40.000 aufgezeichneten Schwachstellen im Jahr 2024 basierend auf Daten von NIST ist es auch von entscheidender Bedeutung, dass Kunden ein strenges Patch-Regime einhalten, um das Risiko einer Ausnutzung zu verringern. In Bezug auf diesen Vorfall hat Fortinet direkt mit identifizierten betroffenen Kunden kommuniziert, die auf Basis der verfügbaren Telemetrie Massnahmen ergreifen müssen. Fortinet empfiehlt jedoch allen Kunden, unabhängig davon auf eine dieser empfohlenen Versionen zu upgraden. Fortinet hat auch viele Änderungen integriert, um die Sicherheitsfunktionen weiter zu verbessern, die sich mit den wichtigsten Herausforderungen der Kunden befassen und für Kunden verfügbar sind, die auf die neueste Version aktualisieren, einschliesslich, aber nicht beschränkt auf:

  • Zusätzliche Kompilierungszeit-Härtung, um die Angriffsbarriere auf Produkte zu erhöhen.
  • Virtuelles Patchen, um Probleme vor der Patch-Verarbeitung zu mildern.
  • Implementierung der Firmware-Integritätsvalidierung in Hardware (BIOS).
  • Einführung der Integrity Measurement Architecture (IMA) / Filesystem Integrity.
  • Automatische Updates, um Geräte nahtlos gegen Schwachstellen zu patchen, ohne dass Administratoren eingreifen müssen.

Fortinet ermutigt Kunden weiterhin, die FortiOS-Best-Practice-Ressourcen zu nutzen, einschliesslich Anleitungen zur Systemhärtung sowie Funktionen, die Kunden helfen, den Aktualisierungsprozess zu automatisieren, wie Uninterrupted Cluster Upgrade, Sub-second failover, Fail-over protection, Auto-restore configs / Configuration revisions und Automatic / Scheduled patch upgrades.

Quelle: https://www.fortinet.com/blog/psirt-blogs/analysis-of-threat-actor-activity


add 15.04.2025 - 4Tinu | Microsoft Copilot Copilot-icon.png hat mir geholfen

Vulnerabilities

Vulnerability.svg

Was bedeutet "FortiBleed"?

New.svg


Einleitung:
FortiBleed beschreibt eine gross angelegte Credential-Exposure- und Exploitation-Kampagne gegen internetexponierte Fortinet FortiGate Firewalls und SSL-VPN-Gateways. Laut öffentlicher Berichterstattung wurden über 73'000 eindeutige Fortinet-Firewall-URLs in 194 Ländern mit kompromittierten oder validierten Zugangsdaten in Verbindung gebracht. Die Kampagne zeigt deutlich, dass nicht nur klassische Schwachstellen, sondern auch wiederverwendete, geleakte oder unzureichend geschützte Zugangsdaten ein kritisches Risiko für Perimeter-Systeme darstellen.

Ursache:
Die Ursache von FortiBleed liegt nach aktuellem Kenntnisstand nicht in einer bestätigten einzelnen Zero-Day-Schwachstelle oder einem eindeutig zugeordneten CVE. Vielmehr handelt es sich um eine Kombination aus internetweit erreichbaren Fortinet-Instanzen, historischen Credential-Leaks, Credential-Stuffing, Brute-Force-Aktivitäten und potenziell bereits kompromittierten Zugangsdaten. Angreifer haben automatisiert nach exponierten FortiGate- und SSL-VPN-Systemen gesucht und diese gegen grosse Sammlungen bekannter Benutzernamen und Passwörter getestet. Besonders kritisch ist, dass auch komplexe Passwörter betroffen sein können, wenn sie bereits durch Infostealer-Malware, frühere Datenabflüsse oder unsichere Wiederverwendung in Klartextdatenbanken vorhanden waren. Die eigentliche Schwachstelle ist daher häufig nicht die Passwortlänge, sondern die fehlende Kontrolle über die Herkunft, Wiederverwendung und Absicherung von Credentials auf sicherheitskritischen Edge-Systemen.

Was bedeutet der „Bleed“ bei FortiBleed?
Der Begriff Bleed beschreibt in diesem Kontext das fortlaufende Abfliessen von Zugangsdaten und Authentifizierungsinformationen aus kompromittierten Umgebungen. Sobald Angreifer Zugriff auf ein Fortinet-Gateway erhalten, kann das System als Beobachtungspunkt an der Netzwerkgrenze missbraucht werden. Darüber lassen sich weitere Anmeldeinformationen aus VPN-, Verwaltungs- oder nachgelagerten Netzwerkverbindungen identifizieren, sammeln und erneut für weitere Angriffe verwenden.
Dieser Prozess ist besonders gefährlich, weil er sich selbst verstärken kann: Bereits bekannte Zugangsdaten ermöglichen den ersten Zugriff, der Zugriff ermöglicht die Sammlung weiterer Credentials, und diese neuen Credentials werden anschliessend wieder für zusätzliche Systeme getestet. Dadurch entsteht ein automatisierter Kreislauf, der über eine einzelne Firewall hinausgehen und sich bis in interne Verzeichnisdienste wie Active Directory ausweiten kann.

Impact
Der Impact ist hoch, weil FortiGate-Firewalls und SSL-VPN-Gateways typischerweise direkt am Netzwerkperimeter betrieben werden. Ein erfolgreicher Zugriff kann Angreifern ermöglichen, administrative Schnittstellen zu missbrauchen, VPN-Zugänge zu verwenden, Traffic zu beobachten, zusätzliche Zugangsdaten zu erbeuten und sich lateral in interne Netzwerke zu bewegen. Besonders kritisch ist dies für Organisationen mit exponierten Management-Interfaces, fehlender Multi-Faktor-Authentifizierung oder unzureichender Protokollüberwachung.
Ein weiterer Risikofaktor ist die mögliche Persistenz. Selbst wenn ein Passwort später geändert oder eine bekannte Schwachstelle gepatcht wird, können Angreifer bereits zusätzliche Konten, Tokens, Konfigurationen oder interne Zugangspfade gesammelt haben. Deshalb reicht eine reine Passwortänderung in vielen Fällen nicht aus. Du musst davon ausgehen, dass ein kompromittierter Perimeter-Zugang eine vollständige Incident-Response-Prüfung erfordert.
Empfohlene Massnahmen

  • Prüfe alle internetexponierten FortiGate- und SSL-VPN-Systeme auf verdächtige Login-Versuche, ungewöhnliche Admin-Aktivitäten und unbekannte VPN-Sessions.
  • Erzwinge umgehend eine Rotation aller lokalen, administrativen und VPN-bezogenen Zugangsdaten auf betroffenen oder potenziell exponierten Systemen.
  • Aktiviere Multi-Faktor-Authentifizierung konsequent für VPN-Zugänge, Administrator-Konten und privilegierte Benutzer.
  • Beschränke Management-Zugriffe auf dedizierte Admin-Netze, vertrauenswürdige IP-Adressen oder sichere Out-of-Band-Zugänge.
  • Deaktiviere unnötige öffentliche Verwaltungsoberflächen und stelle sicher, dass nur zwingend benötigte Services aus dem Internet erreichbar sind.
  • Aktualisiere FortiOS, FortiGate- und SSL-VPN-Komponenten auf die vom Hersteller empfohlenen Versionen und prüfe zusätzlich alle relevanten Fortinet Security Advisories.
  • Analysiere FortiGate-Konfigurationen auf unbekannte Admin-Konten, manipulierte Policies, verdächtige VPN-Profile und unautorisierte Änderungen.
  • Überprüfe Active Directory, RADIUS, LDAP und andere angebundene Authentifizierungssysteme auf verdächtige Anmeldeereignisse und laterale Bewegungen.
  • Setze Credential-Hygiene durch: keine Passwortwiederverwendung, regelmässige Überprüfung gegen bekannte Leaks und strikte Trennung von Service-, Admin- und Benutzerkonten.
  • Führe bei Verdacht auf Kompromittierung eine vollständige Incident-Response-Analyse durch, inklusive Log-Sicherung, forensischer Prüfung und Bewertung möglicher Datenexfiltration.

Technische Einschätzung
FortiBleed sollte nicht als isolierter Produktfehler betrachtet werden, sondern als Warnsignal für den Schutz von Edge-Infrastrukturen. Du solltest Fortinet-Systeme am Perimeter wie kritische Identitäts- und Zugriffskomponenten behandeln. Entscheidend sind starke Authentifizierung, eingeschränkte Erreichbarkeit, konsequentes Patching, saubere Credential-Prozesse und ein Monitoring, das nicht nur Schwachstellen, sondern auch missbräuchliche Nutzung gültiger Zugangsdaten erkennt.


add 19.06.2026 - 4Tinu | Microsoft Copilot Copilot-icon.png hat mir geholfen


Vulnerability.svg

OpenSSL - CVE-2025-15467


Problembeschreibung
Das Parsen einer CMS AuthEnvelopedData-Nachricht mit absichtlich manipulierten AEAD-Parametern kann einen Stack-Buffer-Overflow auslösen. Ein Stack-Buffer-Overflow kann zu einem Absturz führen, was wiederum einen Denial-of-Service (DoS) verursacht oder potenziell sogar eine Remotecodeausführung ermöglicht. Beim Parsen von CMS AuthEnvelopedData-Strukturen, die AEAD-Verschlüsselungen wie AES-GCM verwenden, wird der im ASN.1-Parameter kodierte IV (Initialisierungsvektor) in einen Stack-Puffer fester Grösse kopiert, ohne zu überprüfen, ob dessen Länge in das Ziel passt. Ein Angreifer kann eine speziell präparierte CMS-Nachricht mit einem zu grossen IV bereitstellen, was zu einem Stack-basierten Schreibzugriff ausserhalb der vorgesehenen Grenzen führt, noch bevor eine Authentifizierung oder Tag-Prüfung stattfindet. Anwendungen und Dienste, die nicht vertrauenswürdige CMS* oder PKCS#7-Inhalte mit AEAD-Verschlüsselungen (z. B. S/MIME AuthEnvelopedData mit AES-GCM) verarbeiten, sind gefährdet. Da der Overflow vor der Authentifizierung auftritt, ist kein gültiges Schlüsselmaterial erforderlich, um ihn auszulösen. Die Ausnutzbarkeit zur Remotecodeausführung hängt zwar von Plattform* und Toolchain-Schutzmechanismen ab, aber der Stack-basierte Schreibzugriff stellt ein erhebliches Risiko dar. Die FIPS-Module in den Versionen 3.6, 3.5, 3.4, 3.3 und 3.0 sind von diesem Problem nicht betroffen, da die CMS-Implementierung ausserhalb des OpenssL-FIPS-Moduls liegt.

  • OpenssL 3.6, 3.5, 3.4, 3.3 und 3.0 sind jedoch anfällig für dieses Problem.
  • OpenssL 1.1.1 und 1.0.2 sind davon nicht betroffen.

Fortinet PSIRT untersucht derzeit die Auswirkungen dieses CVE auf die Fortinet-Produkte.
betroffen..
Bedrohungslevel:

  • Severity : Critical
  • Die Bedrohung wird mit einem CVssv3 Score von 9.8 eingestuft!

Nicht Betroffene Systeme (Stand 25.03.2026)

  • FortiAP
  • FortiWeb
  • FortiVoice
  • FortiTester
  • FortiSwitch
  • FortiSandbox
  • FortiSOAR
  • FortiSIEM
  • FortiRecorder
  • FortiPortal
  • FortiOS
  • FortiNAC-F
  • FortiNAC
  • FortiManager
  • FortiMail
  • FortiExtender
  • FortiDDoS
  • FortiConverter
  • FortiCloud
  • FortiClient Windows
  • FortiClient MacOS
  • FortiClient Linux
  • FortiAuthenticator
  • FortiAnalyzer
  • FortiAP-W2
  • FortiAP-U
  • FortiClient iOS
  • FortiClient Android
  • FortiClient EMS
  • FortiWebManager
  • FortiADC
  • FortiADC Manager
  • FortiProxy

Weitere Informationen findet man unter folgenden externen Artikeln:
PSIRT FortiGuard:

CVE Informationen

Weitere Referenzen:


edit 25.03.2026 * 4Tinu


Vulnerability.svg

Administrative FortiCloud SSO authentication bypass - FG-IR-26-060

New.svg


Problembeschreibung
Eine Schwachstelle vom Typ „Authentication Bypass Using an Alternate Path or Channel“ [CWE-288] in FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb kann es einem Angreifer mit einem FortiCloud-Konto und einem registrierten Gerät ermöglichen, sich an anderen Geräten anzumelden, die bei anderen Konten registriert sind, sofern auf diesen Geräten die FortiCloud SSO-Authentifizierung aktiviert ist.

Bitte beachte, dass die FortiCloud SSO-Anmeldefunktion in den Werkseinstellungen standardmässig deaktiviert ist. Wenn Du jedoch das Gerät über die Geräteeinstellungen bei FortiCare registrierst, wird FortiCloud SSO für die Anmeldung aktiviert, sofern Du beim Registrierungsprozess die Option Allow administrative login using FortiCloud SSO nicht deaktivierst.

Diese Schwachstelle wurde bereits aktiv ausgenutzt:

  • Zwei böswillige FortiCloud-Konten wurden dabei am 22.01.2026 gesperrt.
  • Um weiteren Missbrauch zu verhindern, hat Fortinet am 26.01.2026 die FortiCloud SSO-Funktion serverseitig deaktiviert.
  • Am 27.01.2026 wurde sie wieder aktiviert, unterstützt jedoch keine Anmeldungen mehr von Geräten mit verwundbaren Versionen.

Du musst daher auf die unten aufgeführten neuesten Versionen aktualisieren, damit FortiCloud SSO weiterhin genutzt werden kann.

  • FortiManager Cloud, FortiAnalyzer Cloud und FortiGate Cloud sind nicht betroffen.
  • Setups mit einem eigenen IdP für SSO statt FortiCloud sind nicht betroffen (einschliesslich Setups mit FortiAuthenticator als Custom IdP).

Bedrohungslevel:

  • Severity : Critical
  • Die Bedrohung wird mit einem CVSSv3 Score von 9.4 eingestuft!

Betroffene Systeme:

FortiAnalyzer

  • FortiAnalyzer 7.6 : 7.6.0 - 7.6.5
  • FortiAnalyzer 7.4 : 7.4.0 - 7.4.9
  • FortiAnalyzer 7.2 : 7.2.0 - 7.2.11
  • FortiAnalyzer 7.0 : 7.0.0 - 7.0.15
  • FortiAnalyzer 6.4 : 6.4.x ist nicht betroffen

FortiManager

  • FortiManager 7.6 : 7.6.0 - 7.6.5
  • FortiManager 7.4 : 7.4.0 - 7.4.9
  • FortiManager 7.2 : 7.2.0 - 7.2.11
  • FortiManager 7.0 : 7.0.0 - 7.0.15
  • FortiManager 6.4 : 6.4.x ist nicht betroffen

FortiGate:

  • FortiOS 8.0 : 8.0.x ist nicht betroffen
  • FortiOS 7.6 : 7.6.0 - 7.6.5
  • FortiOS 7.4 : 7.4.0 - 7.4.10
  • FortiOS 7.2 : 7.2.0 - 7.2.12
  • FortiOS 7.0 : 7.0.0 - 7.0.18
  • FortiOS 6.4 : 6.4.x ist nicht betroffen

FortiProxy:

  • FortiProxy 7.6 : 7.6.0 - 7.6.4
  • FortiProxy 7.4 : 7.4.0 - 7.4.12
  • FortiProxy 7.2 : 7.2.x Alle Versionen
  • FortiProxy 7.0 : 7.0.x Alle Versionen

FortiWeb:

  • FortiWeb 8.0 : 8.0.0 - 8.0.3
  • FortiWeb 7.6 : 7.6.0 - 7.6.6
  • FortiWeb 7.4 : 7.4.0 - 7.6.6
  • FortiWeb 7.2 : 7.2.x ist nicht betroffen
  • FortiWeb 7.0 : 7.0.x ist nicht betroffen

FortiSwitch Manager:

  • Dieses Produkt wird noch untersucht ob es auch betroffen ist.

Lösung:
Auf folgende Versionen upgraden, damit die Sicherheitslücke geschlossen wird.

FortiAnalyzer

  • FortiAnalyzer 7.6 : upgraden auf 7.6.6 Version bald verfügbar - Stand 29.01.2026
  • FortiAnalyzer 7.4 : upgraden auf 7.4.10 oder höher
  • FortiAnalyzer 7.2 : upgraden auf 7.2.12 Version bald verfügbar - Stand 29.01.2026
  • FortiAnalyzer 7.0 : upgraden auf 7.0.16 Version bald verfügbar - Stand 29.01.2026

FortiManager

  • FortiManager 7.6 : upgraden auf 7.6.6 Version bald verfügbar - Stand 29.01.2026
  • FortiManager 7.4 : upgraden auf 7.4.10 oder höher
  • FortiManager 7.2 : upgraden auf 7.2.13 Version bald verfügbar - Stand 29.01.2026
  • FortiManager 7.0 : upgraden auf 7.0.16 Version bald verfügbar - Stand 29.01.2026

FortiGate:

  • FortiOS 7.6 : upgraden auf 7.6.6 oder höher
  • FortiOS 7.4 : upgraden auf 7.4.11 oder höher
  • FortiOS 7.2 : upgraden auf 7.2.13 oder höher
  • FortiOS 7.0 : upgraden auf Version bald verfügbar - Stand 30.01.2026

FortiProxy:

  • FortiProxy 7.6 : upgraden auf 7.6.6 Version bald verfügbar - Stand 29.01.2026
  • FortiProxy 7.4 : upgraden auf 7.4.13 Version bald verfügbar - Stand 29.01.2026
  • FortiProxy 7.2 : upgraden auf 7.2.x migrieren auf eine Supportete Version (7.6.6 oder 7.4.13)
  • FortiProxy 7.0 : upgraden auf 7.0.x migrieren auf eine Supportete Version (7.6.6 oder 7.4.13)

FortiWeb:

  • FortiWeb 8.0 : upgraden auf 8.0.4 Version bald verfügbar - Stand 29.01.2026
  • FortiWeb 7.6 : upgraden auf 7.6.7 Version bald verfügbar - Stand 29.01.2026
  • FortiWeb 7.4 : upgraden auf 7.4.12 Version bald verfügbar - Stand 29.01.2026

Weitere Massnahmen und Workaround:

Die FortiCloud SSO-Authentifizierung unterstützt keine Anmeldungen mehr von Geräten mit verwundbaren Versionen.
Daher ist es derzeit nicht notwendig, die FortiCloud SSO-Anmeldung auf der Client-Seite zu deaktivieren.
Zur Referenz kann dies dennoch wie folgt durchgeführt werden:

Bei FortiOS und FortiProxy:

Config webgui.png Konfiguration über das WebGui:

Zum Deaktivieren der FortiCloud-Login-Funktion navigierst Du zu:

System Settings Allow administrative login using FortiCloud SSO Option deaktivieren.

Fortinet-3546.jpg
Config cli.png Konfiguration über die CLI:
 
config system global
set admin-forticloud-sso-login disable
end

Beim FortiManager oder FortiAnalyzer:

Config webgui.png Konfiguration über das WebGui:

Zum Deaktivieren der FortiCloud-Login-Funktion navigierst Du zu:

System Settings SAML SSO Allow admins to login with FortiCloud Option deaktivieren.

Fortinet-3550.jpg
Config cli.png Konfiguration über die CLI:
 
config system saml
set forticloud-sso disable
end

Idicators of Compromise
SSO-Login-Benutzerkonten:

Der Angreifer wurde dabei beobachtet, sich mit den folgenden Benutzerkonten anzumelden:

  • cloud-noc@mail.io
  • cloud-init@mail.io

Fortinet geht davon aus, dass sich diese Adressen in Zukunft ändern könnten, da Massnahmen ergriffen wurden, um diese Konten zu neutralisieren.
IP-Adressen:

Der Angreifer wurde beobachtet, wie er sich über mehrere IP-Adressen angemeldet hat und offenbar auf durch Cloudflare geschützte IPs gewechselt ist:

  • 104.28.244.115
  • 104.28.212.114
  • 104.28.212.115
  • 104.28.195.105
  • 104.28.195.106
  • 104.28.227.106
  • 104.28.227.105
  • 104.28.244.114

Adressen die nicht von Fortinet sondern von Drittpersonen beobachtet wurden:

  • 37[.]1.209.19
  • 217[.]119.139.50

Bösartige Erstellung lokaler Konten:

Nach der Authentifizierung via SSO wurde beobachtet, dass der Angreifer ein lokales Administratorkonto mit einem der folgenden Namen erstellt.
Diese Namen haben sich im Verlauf der Analyse geändert. Daher empfiehlt Fortinet, alle Administratorkonten zu überprüfen, um unerwartete Einträge zu identifizieren:

  • audit
  • backup
  • itadmin
  • secadmin
  • support
  • backupadmin
  • deploy
  • itadmin
  • remoteadmin
  • security
  • svcadmin
  • system
Hinweis.svg

In diesem Wiki Artikel wird erklärt, wie man eine Email bekommt, wenn eine Konfigurationsänderung vorgenommen wird.

Hauptoperationen des Angreifers:

  • Herunterladen der Kunden-Konfigurationsdatei
  • Hinzufügen eines Administratorkontos zur Erhaltung des Zugriffs (Persistenz)

Weitere Informationen findet man unter folgenden externen Artikeln:
PSIRT - FortiGuard:

CVE Informationen

Heise.de:


edit 30.01.2026 - 4Tinu


Vulnerability.svg

Heap-based buffer overflow in cw_acd daemon - FG-IR-25-084


Problembeschreibung Eine heap-basierte Pufferüberlauf-Schwachstelle [CWE-122] in FortiOS und FortiSwitchManager cw_acd Daemon kann es einem remoten, nicht authentifizierten Angreifer ermöglichen, beliebigen Code oder Befehle über speziell erstellte Anfragen auszuführen.

Das Vorhandensein von Sicherheitskontrollen wie ASLR und PIE erhöht die Komplexität und den Vorbereitungsaufwand für die Ausnutzung erheblich.

Bedrohungslevel:

  • Severity : High
  • Die Bedrohung wird mit einem CVSSv3 Score von 7.4 eingestuft!

Betroffene Systeme:

FortiGate:

  • FortiOS 7.6.0 - 7.6.3
  • FortiOS 7.4.0 - 7.4.8
  • FortiOS 7.2.0 - 7.2.11
  • FortiOS 7.0.0 - 7.0.17
  • FortiOS 6.4.0 - 6.4.16

FortiSwitchManager:/

  • FortiSwitchManager 7.2.0 bis 7.2.6
  • FortiSwitchManager 7.0.0 bis 7.0.5

Lösung:
Auf folgende Versionen upgraden, damit die Sicherheitslücke geschlossen wird.

FortiGate:

  • FortiOS 7.6.4 oder höher
  • FortiOS 7.4.9 oder höher
  • FortiOS 7.2.12 oder höher
  • FortiOS 7.0.18 oder höher
  • FortiOS 6.4.17 (wird folgen)

FortiSwitchManager:/

  • FortiSwitchManager 7.2.7 oder höher
  • FortiSwitchManager 7.0.6 oder höher

Weitere Massnahmen und Workaround: Bei jedem Interface den fabric Zugriff entfehrnen.

Beispiel Konfiguration:

Ausgangslage:

config system interface
edit "port1"
set allowaccess fabric ssh https
next
end

ändern zu:

config system interface
edit "port1"
set allowaccess ssh https
next
end

eine Weitere Massnahme ist es den zum CAPWAP Daemon verweigern.

Für jedes interface mit dem fabric service, mit einer Localin Policy die CAPWAP-CONTROL Ports (udp 5246 - 5249) blockieren.

Beispiel:

config firewall service custom
edit "CAPWAP-CONTROL"
set udp-portrange 5246-5249
next
end
config firewall addrgrp
edit "CAPWAP_DEVICES_IPs"
set member "my_allowed_addresses" <-- IP adressen welche erlaubt sind
end
config firewall local-in-policy
edit 1 <-- Regel welche den Zugriff erlaubt.
set intf "port1" <-- Interfaces bei welchem fabric aktiviert ist
set srcaddr "CAPWAP_DEVICES_IPs"
set dstaddr "all"
set service "CAPWAP-CONTROL"
set schedule "always"
set action accept
next
edit 2 <-- Regel welche alle anderen Interfaces blockiert mit dem 
set intf "any"
set srcaddr "all'
set dstaddr "all"
set service "CAPWAP-CONTROL"
set schedule "always"
set action deny
next
end

Weitere Informationen findet man unter folgenden externen Artikeln:
PSIRT - FortiGuard:

CVE Informationen


add 21.01.2026 - 4Tinu


Vulnerability.svg

Multiple Fortinet Products FortiCloud SSO Login Authentication Bypass - CVE-2025-59718 und CVE-2025-59719

New.svg


Problembeschreibung

Eine Schwachstelle aufgrund unzureichender Verifizierung kryptographischer Signaturen (CWE-347) in FortiOS, FortiWeb, FortiProxy und FortiSwitchManager kann es einem nicht authentifizierten Angreifer ermöglichen, die FortiCloud-SSO-Login-Authentifizierung durch eine manipulierte SAML-Nachricht zu umgehen, sofern diese Funktion auf Deinem Gerät aktiviert ist.

Bedrohungslevel:

  • Severity : Critical
  • Die Bedrohung wird mit einem CVSSv3 Score von 9.1 eingestuft!

Betroffene Systeme:

FortiGate:

  • FortiOS 7.6.0 - 7.6.4
  • FortiOS 7.4.0 - 7.4.8
  • FortiOS 7.2.0 - 7.2.11
  • FortiOS 7.0.0 - 7.0.17
  • FortiOS 6.4.x ist nicht betroffen

FortiProxy:

  • FortiProxy 7.6.0 bis 7.6.3
  • FortiProxy 7.4.0 bis 7.4.10
  • FortiProxy 7.2.0 bis 7.2.14
  • FortiProxy 7.0.0 bis 7.0.21

FortiWeb:

  • FortiWeb 8.0.0
  • FortiWeb 7.6.0 bis 7.6.4
  • FortiWeb 7.4.0 bis 7.4.9
  • FortiWeb 7.2.x ist nicht betroffen
  • FortiWeb 7.0.x ist nicht betroffen

FortiSwitchManager:/

  • FortiSwitchManager 7.2.0 bis 7.2.6
  • FortiSwitchManager 7.0.0 bis 7.0.5

Lösung:
Auf folgende Versionen upgraden, damit die Sicherheitslücke geschlossen wird.

FortiGate:

  • FortiOS 7.6.4 oder höher
  • FortiOS 7.4.9 oder höher
  • FortiOS 7.2.12 oder höher
  • FortiOS 7.0.18 oder höher

FortiProxy:

  • FortiProxy 7.6.4 oder höher
  • FortiProxy 7.4.11 oder höher
  • FortiProxy 7.2.15 oder höher
  • FortiProxy 7.0.22 oder höher

FortiWeb:

  • FortiWeb 8.0.1 oder höher
  • FortiWeb 7.6.5 oder höher
  • FortiWeb 7.4.10 oder höher

FortiSwitchManager:/

  • FortiSwitchManager 7.2.7 oder höher
  • FortiSwitchManager 7.0.6 oder höher

Weitere Massnahmen und Workaround:

Um zu verhindern, dass betroffene Versionen durch diese Schwachstelle ausgenutzt werden, solltest Du die FortiCloud-Login-Funktion (falls aktiviert) vorübergehend deaktivieren, bis ein Upgrade auf eine nicht betroffene Version durchgeführt wurde.

Config webgui.png Konfiguration über das WebGui:

Zum Deaktivieren der FortiCloud-Login-Funktion navigierst Du zu:

System Settings Allow administrative login using FortiCloud SSO Option deaktivieren.

Fortinet-3546.jpg
Config cli.png Konfiguration über die CLI:
 
config system global
set admin-forticloud-sso-login disable
end
Wichtig.svg

Beachte, die FortiCloud-SSO-Login-Funktion ist per Default deaktiviert. Registrierst Du jedoch ein Gerät über die GUI bei FortiCare, wird FortiCloud SSO nach der Registrierung automatisch aktiviert.


Weitere Informationen findet man unter folgenden externen Artikeln:
PSIRT - FortiGuard:

CVE Informationen

NIST:


add 10.12.2025 - 4Tinu


Vulnerability.svg

FortiWeb - Path confusion vulnerability in GUI - CVE-2025-64446


Problembeschreibung:
Eine Schwachstelle zur Pfadmanipulation durch relative Pfadangaben (CWE-23) in FortiWeb kann einem nicht authentifizierten Angreifer ermöglichen, administrative Befehle auf dem System auszuführen, indem er speziell präparierte HTTP- oder HTTPS-Anfragen sendet.

Bedrohungslevel:

  • Severity Critical
  • Die Bedrohung wird mit einem CVSSv3 Score von 9.4 eingestuft!

Betroffene Systeme:

  • FortiWeb 8.0 OS Version 8.0.0 bis 8.0.1
  • FortiWeb 7.6 OS Version 7.6.0 bis 7.6.4
  • FortiWeb 7.4 OS Version 7.4.0 bis 7.4.9
  • FortiWeb 7.2 OS Version 7.2.0 bis 7.2.11
  • FortiWeb 7.0 OS Version 7.0.0 bis 7.0.11

Wenn das HTTP/HTTPS-Managementinterface gemäss Best Practices nur intern zugänglich ist, ist das Risiko einer Kompromittierung deutlich reduziert.

Lösung:
Auf folgende Versionen kann upgedatet werden, damit diese Sicherheitslücke geschlossen wird:

  • FortiWeb 8.0 upgraden auf 8.0.2 oder höher
  • FortiWeb 7.6 upgraden auf 7.6.5 oder höher
  • FortiWeb 7.4 upgraden auf 7.4.10 oder höher
  • FortiWeb 7.2 upgraden auf 7.2.12 oder höher
  • FortiWeb 7.0 upgraden auf 7.0.12 oder höher

Weitere Massnahmen und Workaround:

  • Bei den externen Management Interfaces HTTP und HTTPS Management Dienst deaktivieren.
  • Zugriff auf bekannte und vertrauenswürdige Sourcen limitieren
  • Es wird empfohlen, dass Du Deine Konfiguration überprüfst und die Logs auf unerwartete Änderungen oder das

Anlegen nicht autorisierter Administratorkonten kontrollierst. Indicators of Compromise (Stand 18.11.2025)
Bekannte Angreifer IP Adressen:

 107.152.41.19
 144.31.1.63
 89.169.55.168
 185.192.70.33
 185.192.70.53
 185.192.70.43
 185.192.70.25
 185.192.70.36
 185.192.70.49
 185.192.70.39 
 185.192.70.57
 185.192.70.50 
 185.192.70.46 
 185.192.70.31 
 64.95.13.8 

Siehe: Integrity360 Shift + Linke Maustaste

Die Angreifer haben folgende Zugangsdaten verwendet:

 Testpoint - AFodIUU3Sszp5 
 trader1 - 3eMIXX43
 trader - 3eMIXX43
 test1234point - AFT3$tH4ck
 Testpoint - AFT3$tH4ck
 Testpoint - AFT3$tH4ckmet0d4yaga!n

Siehe: Hacker News Shift + Linke Maustaste


Weitere Informationen findet man unter folgenden externen Artikeln:
PSIRT - FortiGuard:

CVE Informationen

Articwolf:

BSI - Deutschland:

The Hacker News:


edit 10.12.2025 - 4Tinu


Vulnerability.svg

Authentication bypass in Node.js websocket module - CVE-2024-55591


Problembeschreibung:
Eine gezielte Kampagne auf Fortinet FortiGate-Firewalls mit exponierten(externe) Managementinterfaces wurde identifiziert.
Bedrohungsakteure erlangten unbefugten administrativen Zugriff, indem sie neue Benutzerkonten erstellten, SSL-VPN-Zugriffe konfigurierten und laterale Bewegungen innerhalb des Netzwerks durchführten. Der initiale Zugriffspfad ist bislang nicht bestätigt; es wird jedoch eine Zero-Day-Schwachstelle vermutet.

Auswirkung:
Eine erfolgreiche Ausnutzung ermöglicht unautorisierte Konfigurationsänderungen, einschliesslich der Erstellung von gefälschten Administratorkonten und SSL-VPN-Zugängen, was potenziell zur vollständigen Kompromittierung des Systems führen kann.

Bedrohungslevel:

  • Severity Critical
  • Die Bedrohung wird mit einem CVSSv3 Score von 9.6 eingestuft!

Betroffene Systeme:

  • FortiGate mit FortiOS 7.0.0 - 7.0.16
  • FortiProxy mit ProxyOS 7.2.0 - 7.2.12
  • FortiProxy mit ProxyOS 7.0.0 - 7.0.19

Folgende FortiOS Versionen sind nicht betroffen:

  • FortiOS 7.2.x
  • FortiOS 7.4.x
  • FortiOS 7.6.x

Lösung:
Auf folgende Versionen kann upgedatet werden, damit diese Sicherheitslücke geschlossen wird:

  • Upgraden der FortiGate auf die Version 7.0.17 oder höher ⇒ (Das FortiOS 7.0.17 wurde am 14.1.2025 ausgerollt.)
  • Upgraden vom FortiProxy auf die Version 7.2.13 oder höher
  • Upgraden vom FortiProxy auf die Version 7.0.20 oder höher

Weitere Massnahmen und Workaround:


Weitere Informationen findet man unter folgenden externen Artikeln:
PSIRT - FortiGuard:

CVE Informationen

Articwolf:

BSI - Deutschland:


edit 15.01.2025 - 4Tinu


Vulnerability.svg

FortiManager Missing authentication in fgfmsd - CVE-2024-47575


Problembeschreibung:
Eine fehlende Authentifizierung für eine kritische Funktion [CWE-306] im FortiManager fgfmd Daemon kann es einem entfernten, nicht authentifizierten Angreifer mit einem gültigen Fortinet-Zertifikat, das von einem Fortinet-Gerät oder einer VM extrahiert wurde, ermöglichen, beliebigen Code oder Befehle über speziell gestaltete Anfragen auszuführen.
Auswirkung:
Unautorisierte Ausführung von Code oder Befehlen
Details:
Ein entfernter, nicht authentifizierter Angreifer kann Berechtigungen umgehen und unautorisierte Befehle ausführen, was den Download von FortiManager-Konfigurationen ermöglichen kann, einschliesslich derjenigen der verwalteten FortiGate-Geräte.

FG-IR: FG-IR-24-423
Bedrohungslevel:

  • Severity Critical
  • Die Bedrohung wird mit einem CVSSv3 Score von 9.8 eingestuft!

Betroffene Systeme:

  • FortiManager 7.6.0 und älter
  • FortiManager 7.4.0 bis 7.4.4
  • FortiManager 7.2.0 bis 7.2.7
  • FortiManager 7.0.0 bis 7.0.12
  • FortiManager 6.4.0 bis 6.4.14
  • FortiManager 6.2.0 bis 6.2.12
  • FortiManager Cloud 7.6 ist nicht betroffen
  • FortiManager Cloud 7.4.1 bis 7.4.4
  • FortiManager Cloud 7.2.1 bis 7.2.7
  • FortiManager Cloud 7.0.1 bis 7.0.12
  • FortiManager Cloud 6.4 sind alle Versionen betroffen

Lösung:
Auf folgende Versionen kann upgedatet werden, damit diese Sicherheitslücke geschlossen wird:

  • Upgraden auf die FortiManager Cloud Version 7.4 upgraden auf die Version 7.4.5 oder höher
  • Upgraden auf die FortiManager Cloud Version 7.2 upgraden auf die Version 7.2.5 oder höher
  • Upgraden auf die FortiManager Cloud Version 7.0 upgraden auf die Version 7.0.5 oder höher
  • Upgraden auf die FortiManager Cloud Version 6.4 auf eine höhere GA Version upgraden/migrieren

Die alten FortiAnalyzer-Modelle

  • 1000E
  • 1000F
  • 2000E
  • 3000E
  • 3000F
  • 3000G
  • 3500E
  • 3500F
  • 3500G
  • 3700F
  • 3700G
  • 3900E

mit der folgenden aktivierten Funktion (FortiManager auf FortiAnalyzer):

Config cli.png Konfiguration über die CLI:
 
config system global  
set fmg-status enable  
end

Ebenfalls ist mindestens ein Interface mit aktiviertem fgfm-Dienst von dieser Sicherheitslücke betroffen.

Workarounds:

Massnahme 1:
Auf dem FortiManager der Versionen <=7.0.12, <=7.2.5 oder <=7.4.3 (ausser 7.6.0) kann mit folgender Konfiguration verhindert werden, dass unbekannte Geräte sich versuchen zu registrieren:

Config cli.png Konfiguration über die CLI:
 
config system global
    set fgfm-deny-unknown enable
end
Wichtig.svg

Wenn du diese Einstellung aktivierst, verhindert FortiManager, dass sich ein FortiGate-Gerät registriert, falls dessen Seriennummer nicht in der Geräteliste hinterlegt ist, selbst wenn das Modellgerät und der vorab geteilte Schlüssel (PSK) übereinstimmen.

Massnahme 2:
Für alle FortiManager ab der Version 7.2.0 kannst du Abhilfemassnahmen ergreifen, indem du lokale Firewallregeln (Local-In-Regeln) erstellst. Damit kannst du die IP-Adressen der FortiGate-Geräte, welche eine Verbindung herstellen dürfen, auf eine Freigabeliste zu setzen.

Alternativ kannst du dies auch über einer externen Firewall welche vor dem FortiManager platziert ist, im Regelset konfigurieren.

Um eine lokale Firewallregel auf dem FortiManager zu konfigurieren, die Verbindungen von einem bekannten Subnetz, z. B. 198.18.250.0/24 (Verwaltungsnetzwerk), sowie der spezifischen IP-Adresse 10.250.17.2 (FortiGate-Gerät) zulässt, verwende folgende Regeln:

Config cli.png Konfiguration über die CLI:
 
config system local-in-policy
    edit 1
        set action accept
        set src 198.18.250.0/24
        set dport 443  <--- WebGui Adminport
    next
    edit 2
        set action accept
        set src 198.18.250.0/24
        set dport 22   <--- SSH Adminport
        next
    edit 3
        set action accept
        set src 10.250.17.2/32
        set dport 541  <--- Erlaube nur TCP/541 von bekannten FortiGate-IP-Adressen.
       next
    edit 4
       next
end
Info.svg

Es ist wichtig zu beachten, dass die Regel 4 im Beispiel alle Einstellungen auf "Standard" hat.
Dadurch wird diese zu einer expliziten Drop-Regel, die den Zugriff von allen anderen IP-Adressen blockiert.

Weitere Informationen betreffend Local-In-Regeln auf dem FortiManager findet man im CLI Guide:

Massnahme 3:
Für Versionen 7.2.2 und höher, 7.4.0 und höher, 7.6.0 und höher ist es auch möglich, ein benutzerdefiniertes Zertifikat zu verwenden, um die Sicherheitslücke zu beheben:

Config cli.png Konfiguration über die CLI:
 
config system global
set fgfm-ca-cert <Zertifikat>
set fgfm-cert-exclusive enable
end
  • Installiere dieses Zertifikat auf den FortiGate-Geräten.
  • Nur dieses CA-Zertifikat wird akzeptiert.
  • Dies bietet einen zusätzlichen Schutz, sofern der Angreifer kein Zertifikat erhält, das von dieser CA signiert wurde.
Info.svg

Für FortiManager-Versionen 6.2, 6.4 und 7.0.11 und darunter, führe bitte ein Upgrade auf eine der oben genannten Versionen durch und wende die entsprechenden Workarounds an.


Weitere Informationen findet man unter folgenden externen Artikeln:
PSIRT - FortiGuard:

Informationen CVE-2024-47575

Informationen auf Heise.de:

Google:


add 14.10.2024 - 4Tinu

Vulnerability.svg

Sicherheitsluecke Heap buffer overflow in sslvpn pre-authentication - CVE-2023-27997

New.svg


Problembeschreibung:
Eine neue kritische Sicherheitslücke, die derzeit noch nicht öffentlich bekannt ist, betrifft Fortinets Fortigate-Firewalls, genauer gesagt die SSL-VPN-Funktionen.

Die Sicherheitslücke ermöglicht es auf allen FortiGate mit aktivem SSL-VPN sich ohne Authentifizierung diese Schwachstelle auszunutzen.

Bedrohungslevel:
Der Schweregrad der Sicherheitslücke wird mit 9.3 !! eingestuft

Betroffene Systeme:
FortiOS Versionen:

  • FortiOS Version 7.2.0 bis 7.2.4
  • FortiOS Version 7.0.0 bis 7.0.11
  • FortiOS Version 6.4.0 bis 6.4.12
  • FortiOS Version 6.0.0 bis 6.0.16
  • Das FortiOS 7.4.0 ist nicht betroffen.

FortiProxy Versionen:

  • FortiProxy Version 7.2.0 bis 7.2.3
  • FortiProxy Version 7.0.0 bis 7.0.9
  • FortiProxy Version 2.0.0 bis 2.0.12
  • FortiProxy 1.2 alle Versionen
  • FortiProxy 1.1 alle Versionen

FortiOS-6K7K Versionen:

  • FortiOS-6K7K Version 7.0.10
  • FortiOS-6K7K Version 7.0.5
  • FortiOS-6K7K Version 6.4.12
  • FortiOS-6K7K Version 6.4.10
  • FortiOS-6K7K Version 6.4.8
  • FortiOS-6K7K Version 6.4.6
  • FortiOS-6K7K Version 6.4.2
  • FortiOS-6K7K Version 6.2.9 bis 6.2.13
  • FortiOS-6K7K Version 6.2.6 bis 6.2.7
  • FortiOS-6K7K Version 6.2.4
  • FortiOS-6K7K Version 6.0.12 bis 6.0.16
  • FortiOS-6K7K Version 6.0.10

Liste wurde von hier entnommen:

Workaround:
Das SSL-VPN auf der FortiGate deaktivieren, bis das Gerät auf einer der unter Lösung aufgeführten FortiOS Versionen, upgedatet werden kann.

Lösung:
Um die Sicherheitslücke im betroffenen FortiOS zu schliessen auf einer der folgenden FortiOS Versionen updaten. FortiOS

FortiProxy

FortiOS-6K7K

Weitere empfohlene Massnahmen:
Neben der Überwachung von Sicherheitshinweisen und dem sofortigen Patchen von Systemen empfiehlt Fortinet dringend Folgendes:


Weitere Informationen findet man unter folgenden externen Artikeln:
Heise DE:

PSIRT - FortiGuard:

CVE:


edit 22.05.2025 - 4Tinu

Support Alert

Was ist die Fortinet Support Bulletin Anouncing Page?

Fortinet Support Bulletin Announcing Page ist eine Seite in der Fortinet von Zeit zu Zeit wichtige Informationen zu BugFixes, Critical Bugs im Zusmmenhang mit dem Support der Fortinet Produkte lanciert:

Support Alert Meldungen

Hier findet man die Support Alert Meldungen welche wir noch ein wenig mit Hintergrund Informationen versuchen zu ergänzen:

Achtung.svg

FortiOS 7.0.4 Proxy-Modus Applikations Kontrolle - CSB-220207-1


Beschreibung:
Beim FortiOS 7.0.4 gibt ein potenzielles Problem mit Applikationscontroll Profile welche im Proxymodus verwendet werden. Dabei werden SSL-insertifizierte Session vorzeitig geschlossen, was zu einem Unterbruch des Datentraffics führt. Das Verhalten wird möglicherweise nicht sofort nach dem Upgrade auf 7.0.4 sichtbar sein.

Profile im Flow Modus sind davon nicht betroffen:

Betroffene Produkte:

  • FortiGate

Betroffene Betriebsysteme

  • FortiOS 7.0.4

Workaround im 7.0.4:

  • Anstatt Proxy basierte Profile momentan Flow basierte Profile benutzen.
  • Wenn das Problem auftritt, kann vorübergehend das starten des Wad-Proxy helfen:
  • diag test application wad 99
Config cli.png Konfiguration über die CLI:
diagnose test application wad 99

Lösung:
Im FortiOS 7.0.5 ist dieses Problem behoben. Daher empfehlen wir von 7.0.4 auf 7.0.5 upzugraden


Quelle:
https://support.fortinet.com/Information/Bulletin.aspx Bulletin CSB 220207-1 vom 9.2.2022

Achtung.svg

Zugriff auf Websites mit SSL-Überprüfung blockiert


Es scheint ein anhaltendes Problem mit der Zertifikatskette einer Stammzertifizierungsstelle (ISRG Root X1) zu geben. Dieses Problem betrifft alle Anbieter von SSL-Inspektionsprodukten, unabhängig davon Full-Inspektion oder Zertifikats Inspektion verwendet wird.

Achtung.svg

Dieser Issue wird mit den folgenden FortiOS Releases behoben:

  • FortiOS 6.2.10
  • FortiOS 6.4.8
  • Im FortiOS 7.0.3 ist der Bug leider immer noch enthalten.

Genaueres findet man in den Release Notes der entsprechenden Versionen unter Know Issues und Resolved Issues


Es besteht folgender Workaround (Stand 05.10.21):


Das Certificate Bundle (Version 1.28), welches die Expired Certificates ersetzt, ist neu auf FortiGuard erhältlich, und wird im Rahmen geplanter FortiGuard-Updates automatisch heruntergeladen.

Um dies zu valideren, ist folgender CLI-Befehl zu verwenden:

Config cli.png Konfiguration über die CLI
# diagnose autoupdate versions | grep -A5 '^Cert'

Certificate Bundle
---------
Version: 1.00028


Um das Certificate Bundle manuell upzudaten, ist folgender CLI-Befehl zu verwenden:

Config cli.png Konfiguration über die CLI
# execute update-now


Sobald das Certificate Bundle upgedatet wird, ist der Workaround anwendbar. Um sicherzustellen, dass das Expired Root CA nicht mehr verwendet wird, ist DNS Blackholing notwendig, welches FortiGate den Zugang zu apps.identrust.com blockiert.

Folgend ein Beispiel einer möglichen Konfiguration:

Config cli.png Konfiguration über die CLI
config system dns-database
edit "1"
set domain "identrust.com"
set authoritative disable
config dns-entry
edit 1
set hostname "apps"
set ip 127.0.0.1
next
end
next
end

*Hinweis: Sobald apps.identrust.com keine Expired CA Certificates mehr sendet, kann die Konfiguration entfernt werden
*Hinweis: Mittels Teil-Befehl "set authoritative disable" werden andere FQDNs (z.B. commercial.ocsp.identrust.com) weiterhin resolved


Sobald das oben-erwähnte DNS Blackholing aktiviert wird, können folgende (vorher getätigte) Änderungen wieder rückgängig gemacht werden:

1) Von Proxy zu Flow Inspection

2) Zwischenzeitliches Erlauben von Expired Certificates


Mehr Details zu den oberen Schritte findet man unter folgendem Link:

https://kb.fortinet.com/kb/documentLink.do?externalID=FD53305 -> "Technical Tip: Expiring Let’s Encrypt Certificates"


Wichtig: Falls das Problem weiterhin auftaucht, muss eventuell noch der IPS und WAD Cache gelehrt werden (siehe Details im oben-erwähnten KB-Artikel/Link)


Weitere, generelle Informationen findet man unter folgendem Link:

https://www.fortinet.com/blog/psirt-blogs/fortinet-and-expiring-lets-encrypt-certificates

Danke an Stefanie vom TAC Frankfurt, welche uns diese Information zugestellt hat
Achtung.svg

FortiAP Wireless Access Point upgrade Issue with HPE PoE Switches - CSB-210127-1


Wenn der Power over Ethernet (PoE)-Switch der Marke Hewlett Packard Enterprise (HPE) während eines Upgrades für mehr als 120 Sekunden keine LLDP-Antwort (Link Layer Discovery Protocol) empfängt, kann er die angeschlossenen FortiAP-Einheiten einseitig zurücksetzen oder ausschalten. Dies kann zum Anhalten des Upgrades auf halbem Weg abbricht und somit zu einem Upgrade-Fehler führen kann. Dieses Problem kann auftreten, wenn ein Upgrade versucht wird von einer beliebigen Software-Version 6.4.2 oder früher. Wenn die FortiAP-Einheit nicht mehr reagiert, wenden Sie sich bitte an den Technischen Support von Fortinet.


Es kann ein Problem geben, wenn man einen FortiAP an einem POE-Switch von Hewlett Packard Enterprise (HPE) angeschlossen hat und den FortiAP upgraden will. Das Problem zeigt sich, wenn der FortiAP welcher am upgraden ist, für mehr als 120 Sekunden keine LLPD Antwort ((Link Layer Discovery Protocol)) empfängt. Der FortiAP kann sich einseitig zurück setzen oder wird ausgeschalten. Dies kann zum stop oder Unterbruch des Upgrades führen und generiert so einen Upgrade Fehler. Dieses Problem kann auftreten wenn ein FortiAP von einer x-beliebigen Software bis 6.4.2 einen upgrade durchführt.

Falls dieses Problem auftritt und der FortiAP nicht mehr reagiert, kann man sich an den TAC Support von Fortinet wenden. (Ticket mit der Serienummer des betroffenen FortiAP eröffnen.

Betroffene Produkte:

  • Alle FortiAP Modelle der Serie E
  • FortiAP 431F und 433F

Betroffene OS Versionen:

  • FortiAP-W2 : 6.0 , 6.2, 6.4.0-6.4.2 (Für die E- Serie)
  • FortiAP : 6.4 buld 5760 (für F-Serie 431F und 433F)

Workaround Auf den HPE PoE-Switches müssen zuerst die LLDP-Funktion den Ports deaktivieren, auf welchem die FortiAP angeschlossen sind, welche upgegradet werden sollen.

Alternativ kann man auch global die LLPD Funktion deaktivieren.

gesamten Switch.


Konfiguration auf dem HPE Switch:

Konfiguration über CLI
lldp admin-status <PORT-LIST> txonly | rxonly | tx_rx | disable

lldp admin-status <POE Port an welchem der FortiAP angeschlossen ist> disable

Referenz: https://techhub.hpe.com/eginfolib/networking/docs/switches/K-KA-KB/15-18/5998-8160_ssw_mcg/content/ch06s12.html

Lösung

Fortinet löst dieses Problem für FortiAP der Serie E im FortiOS FortiAP-W2 6.4.3 Build 0451
Für die FortiAP 431F und 433F wird es im FortiAP 6.4.3 Build 0155 behoben.

Nachdem alle betroffenen FortiAPs erfolgreich auf die Firmware Version 6.4.3 oder höher aktualisiert wurden, kann die LLDP-Funktion auf den Switches wieder aktiviert werden.

Customer Support Bulletin CSB-210127-1 vom 27.Januar 2021


Achtung.svg

FortiGuard Webserver nicht erreichbar


Problem Beschreibung:

Wir haben viele Meldungen bekommen, dass wen auf FortiOS 6.4 upgegradet wird, es Probleme gibt die Webfilter Server der FortiGuard zu erreichen. Dadurch werden in den Firewall Regeln, welche einen Webfilter oder DNS Filter aktiv haben, diverse Anfragen verworfen. Dies liegt daran, dass die Anfrage einer Webseite welche Kategorie diese hat die FortiGuard Server keine Antwort senden und so diese Anfrage als unrated eingestuft wird. Je nach dem wie man jetzt den Webfilter/DNS-Filter konfiguriert hat, wird die Aktion ausgeführt, welche bei unrated konfiguriert wurde:

Fortinet-2857.jpg

Wenn man auf FortiOS 6.4 upgradet wird der Kommunikationsport von der FortiGuard von udp8888 oder udp53 auf tcp443 geändert.

Fortinet-2856.jpg

Diesen Port kann man im Webgui nicht mehr anpassen und muss über die CLI zurück auf udp 8888 oder udp 53 gesetzt werden.

Workaround

config system fortiguard
set fortiguard-anycast disable
set protocol udp
set port 8888
end

In gewissen Situationen musste die FortiGate neu gestartet werden, dass der Effekt eintraf.

Fortinet-2858.jpg
Achtung.png

Es ist darauf zu achten, dass bei einer allfälligen Perimeter Firewall ausgehend der Port UDP-8888 freigeschalten werden muss.


Fortinet ist dieses Problem bekannt und es wird daran gearbeitet eine Lösung zu finden.
Stand 3.11.2020

Achtung.svg

FortiOS 7.6.3 SSL-VPN to IPsec VPN Migration - CSB-250416-1


Beschreibung:
Mit der Einführung und Veröffentlichung von FortiOS 7.6.3 hat Fortinet die Unterstützung für VPNs konsolidiert, wobei bestehende SSL-VPN-Tunnelmodus-Konfigurationsoptionen nicht mehr funktionieren werden. Um ununterbrochenen Fernzugriff zu gewährleisten, musst Du Deine SSL-VPN-Tunnelmodus-Konfiguration vor dem Upgrade auf FortiOS 7.6.3 auf IPsec-VPN migrieren.

Wenn Du den SSL-VPN-Webmodus verwendest, bleiben Deine bestehenden Konfigurationen nach dem Upgrade erhalten und funktional, da sie als agentenloses VPN betrieben werden.

Es ist entscheidend, dass Du vor dem Upgrade auf FortiOS 7.6.3 die notwendigen Schritte unternimmst, um Deine VPN-Konfiguration anzupassen.

Fortinet hat umfassende Dokumentationen und Leitfäden bereitgestellt, die Dir dabei helfen können, diesen Übergang reibungslos zu gestalten. Stelle sicher, dass Du die Kompatibilität deiner aktuellen VPN-Lösungen überprüfst und gegebenenfalls die empfohlenen Anpassungen vornimmst.
Zusätzlich bietet FortiOS 7.6.3 eine Reihe von Verbesserungen und neuen Funktionen, die die Leistung und Sicherheit Deines Netzwerks weiter steigern werden. Das Upgrade auf IPsec-VPN ist nicht nur eine Notwendigkeit, sondern kann auch dazu beitragen, Deine Netzwerkarchitektur zukunftssicher zu gestalten.

Falls Du Unterstützung bei der Migration benötigst, steht Dir das ALSO-Team zur Verfügung, um Dich durch den Prozess zu führen und sicherzustellen, dass alle Deine Anforderungen erfüllt werden.
Durch eine rechtzeitige und sorgfältige Vorbereitung kannst Du sicherstellen, dass der Übergang zu FortiOS 7.6.3 ohne Unterbrechungen oder Komplikationen erfolgt.

Betroffene Produkte:
Alle FortiGate Modelle

Betroffenes FortiOS:
FortiOS 7.6.3

Dokumentation Fortinet:

Dokumentation in diesem Wiki:


add 01.05.2025 - 4Tinu