|
|
| (3 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) |
| Zeile 53: |
Zeile 53: |
| '''Beschreibung'''<br> | | '''Beschreibung'''<br> |
| Ein Bedrohungsakteur hat eine bekannte Schwachstelle ausgenutzt, um Lesezugriff auf anfällige FortiGate-Geräte zu implementieren. Dies wurde durch das Erstellen eines symbolischen Links erreicht, der das Benutzerdateisystem und das Root-Dateisystem in einem Ordner verbindet, der zum Bereitstellen von Sprachdateien für das ssL-VPN verwendet wird. Diese Änderung fand im Benutzerdateisystem statt und blieb unentdeckt. Daher könnte dieser symbolische Link zurückgeblieben sein, selbst wenn das Kunden-Gerät mit FortiOS-Versionen aktualisiert wurde, die die ursprünglichen Schwachstellen behoben haben, und dem Bedrohungsakteur weiterhin Lesezugriff auf Dateien im Dateisystem des Geräts ermöglichen, zu denen möglicherweise auch Konfigurationen gehören. Wichtig ist, dass der Kunde nicht betroffen ist, wenn ssL-VPN nie aktiviert war. | | Ein Bedrohungsakteur hat eine bekannte Schwachstelle ausgenutzt, um Lesezugriff auf anfällige FortiGate-Geräte zu implementieren. Dies wurde durch das Erstellen eines symbolischen Links erreicht, der das Benutzerdateisystem und das Root-Dateisystem in einem Ordner verbindet, der zum Bereitstellen von Sprachdateien für das ssL-VPN verwendet wird. Diese Änderung fand im Benutzerdateisystem statt und blieb unentdeckt. Daher könnte dieser symbolische Link zurückgeblieben sein, selbst wenn das Kunden-Gerät mit FortiOS-Versionen aktualisiert wurde, die die ursprünglichen Schwachstellen behoben haben, und dem Bedrohungsakteur weiterhin Lesezugriff auf Dateien im Dateisystem des Geräts ermöglichen, zu denen möglicherweise auch Konfigurationen gehören. Wichtig ist, dass der Kunde nicht betroffen ist, wenn ssL-VPN nie aktiviert war. |
| Als Teil einer Untersuchung hat Fortinet Scans durchgeführt, um betroffene Geräte mithilfe interner Telemetrie und in Zusammenarbeit mit Drittorganisationen zu identifizieren. Die Daten zeigen, dass diese Bedrohungsakteur-Aktivität nicht auf eine bestimmte Region oder Branche abzielt. | | Als Teil einer Untersuchung hat Fortinet Scans durchgeführt, um betroffene Geräte mithilfe interner Telemetrie und in Zusammenarbeit mit Drittorganisationen zu identifizieren. Die Daten zeigen, dass diese Bedrohungsakteur-Aktivität nicht auf eine bestimmte Region oder Branche abzielt.</br> |
| '''Abhilfe'''<br> | | '''Abhilfe'''<br> |
| Nach der Entdeckung der neuen Technik, die der Bedrohungsakteur oben beschrieben verwendet hat, hat Fortinet Schritte unternommen, um dieses Problem zu mildern und unterschiedliche Ebenen der Cyber-Hygiene und Herausforderungen, denen der Kunde möglicherweise gegenübersteht, auszubalancieren. Zu den Minderungsmassnahmen von Fortinet gehören: | | Nach der Entdeckung der neuen Technik, die der Bedrohungsakteur oben beschrieben verwendet hat, hat Fortinet Schritte unternommen, um dieses Problem zu mildern und unterschiedliche Ebenen der Cyber-Hygiene und Herausforderungen, denen der Kunde möglicherweise gegenübersteht, auszubalancieren. Zu den Minderungsmassnahmen von Fortinet gehören: |
| Zeile 89: |
Zeile 89: |
| | style="width:100px;background-color: #f2f79d;vertical-align:top"| <span style="color:#ffbb98">[[File:vulnerability.svg|100px|link=]]</span> | | | style="width:100px;background-color: #f2f79d;vertical-align:top"| <span style="color:#ffbb98">[[File:vulnerability.svg|100px|link=]]</span> |
| | | | | |
| ===FortiBleed: Grossflächige Kompromittierung von Fortinet-Firewalls=== | | ===Was bedeutet "FortiBleed"?=== |
| [[Datei:new.svg|40px|link=]] | | [[Datei:new.svg|40px|link=]] |
| ---- | | ---- |
| Zeile 125: |
Zeile 125: |
| können Angreifer bereits zusätzliche Konten, Tokens, Konfigurationen oder interne Zugangspfade gesammelt haben. Deshalb reicht eine reine | | können Angreifer bereits zusätzliche Konten, Tokens, Konfigurationen oder interne Zugangspfade gesammelt haben. Deshalb reicht eine reine |
| Passwortänderung in vielen Fällen nicht aus. Du musst davon ausgehen, dass ein kompromittierter Perimeter-Zugang eine vollständige | | Passwortänderung in vielen Fällen nicht aus. Du musst davon ausgehen, dass ein kompromittierter Perimeter-Zugang eine vollständige |
| Incident-Response-Prüfung erfordert. | | Incident-Response-Prüfung erfordert.</br> |
| <big>'''Empfohlene Massnahmen'''</big></br> | | <big>'''Empfohlene Massnahmen'''</big></br> |
| * Prüfe alle internetexponierten FortiGate- und SSL-VPN-Systeme auf verdächtige Login-Versuche, ungewöhnliche Admin-Aktivitäten und unbekannte VPN-Sessions. | | * Prüfe alle internetexponierten FortiGate- und SSL-VPN-Systeme auf verdächtige Login-Versuche, ungewöhnliche Admin-Aktivitäten und unbekannte VPN-Sessions. |
Fortigate:Support-Alerts
Vorwort
Diese Seite informiert über Aktuelle Support Informationen sogenannte "Support Bulletin" von Fortinet!
Datenschutz
*********************************************************************
* *
* THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY *
* PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING, *
* DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM *
* ALSO SCHWEIZ AG SWITZERLAND. *
* *
*********************************************************************
"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung von der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht
bekannt gemacht werden"
Nuetzliche Links
PSIRT Blog Fortinet:
kann auch als RSS Feed gezogen werden!
Fortinet Security Vulnerability Policy
Häufige Fragen werden hier beantwortet:'
Wenn ich eine Sicherheitslücke in einem Fortinet Produkt finde, kann ich diese über folgendes Formular direkt an Fortinet melden:
Customer Support Bulletin:
kann auch als RSS Feed gezogen werden!
add 28.10.2022 - 4Tinu
Psirt
Wieso soll ich meine Fortigate Systeme immer auf einem aktuellen Software Stand haben?
Beschreibung
Ein Bedrohungsakteur hat eine bekannte Schwachstelle ausgenutzt, um Lesezugriff auf anfällige FortiGate-Geräte zu implementieren. Dies wurde durch das Erstellen eines symbolischen Links erreicht, der das Benutzerdateisystem und das Root-Dateisystem in einem Ordner verbindet, der zum Bereitstellen von Sprachdateien für das ssL-VPN verwendet wird. Diese Änderung fand im Benutzerdateisystem statt und blieb unentdeckt. Daher könnte dieser symbolische Link zurückgeblieben sein, selbst wenn das Kunden-Gerät mit FortiOS-Versionen aktualisiert wurde, die die ursprünglichen Schwachstellen behoben haben, und dem Bedrohungsakteur weiterhin Lesezugriff auf Dateien im Dateisystem des Geräts ermöglichen, zu denen möglicherweise auch Konfigurationen gehören. Wichtig ist, dass der Kunde nicht betroffen ist, wenn ssL-VPN nie aktiviert war.
Als Teil einer Untersuchung hat Fortinet Scans durchgeführt, um betroffene Geräte mithilfe interner Telemetrie und in Zusammenarbeit mit Drittorganisationen zu identifizieren. Die Daten zeigen, dass diese Bedrohungsakteur-Aktivität nicht auf eine bestimmte Region oder Branche abzielt.
Abhilfe
Nach der Entdeckung der neuen Technik, die der Bedrohungsakteur oben beschrieben verwendet hat, hat Fortinet Schritte unternommen, um dieses Problem zu mildern und unterschiedliche Ebenen der Cyber-Hygiene und Herausforderungen, denen der Kunde möglicherweise gegenübersteht, auszubalancieren. Zu den Minderungsmassnahmen von Fortinet gehören:
- Ein AV/IPS-Signatur wurde erstellt, um diesen symbolischen Link auf betroffenen Geräten zu erkennen und zu bereinigen.
- Änderungen wurden in die neuesten Releases aufgenommen, um den symbolischen Link zu erkennen und zu entfernen und sicherzustellen, dass das ssL-VPN nur die erwarteten Dateien bereitstellt.
- Proaktive Kommunikation, die Kunden zum Aktualisieren ihrer Geräte auffordert, sorgfältig ausbalanciert, um gegen weitere unbeabsichtigte Kompromittierungen zu schützen, und gleichzeitig unser Engagement für verantwortungsvolle Transparenz erfüllt.
Speziell zu den in diesem Blog beschriebenen Ergebnissen (April 2025) hat Fortinet mehrere FortiOS-Abhilfemassnahmen veröffentlicht, darunter:
- FortiOS 7.4, 7.2, 7.0, 6.4: Der symbolische Link wurde als bösartig vom AV/IPS-Engine markiert, sodass er automatisch entfernt wird, wenn die Engine lizenziert und aktiviert ist.
- FortiOS 7.6.2, 7.4.7, 7.2.11 & 7.0.17, 6.4.16: Durch das Upgrade auf diese Version wird der bösartige symbolische Link entfernt.
- FortiOS 7.6.2, 7.4.7, 7.2.11 & 7.0.17, 6.4.16: Die ssL-VPN-Benutzeroberfläche wurde modifiziert, um das Bereitstellen solcher bösartigen symbolischen Links zu verhindern.
Fortinet hat direkt mit Kunden kommuniziert, die nach den verfügbaren Telemetriedaten als von diesem Problem betroffen identifiziert wurden, und empfehlen ihnen, folgende Schritte zu unternehmen:
- Alle Geräte auf 7.6.2, 7.4.7, 7.2.11 & 7.0.17 oder 6.4.16 upgraden.
- Die Konfiguration aller Geräte überprüfen.
- Alle Konfigurationen als potenziell kompromittiert betrachten und die empfohlenen Schritte unten befolgen, um sich zu erholen:
- KB-Artikel Fortinet
Muss ich upgraden?
Es ist von entscheidender Bedeutung, dass alle Organisationen ihre Geräte auf dem neuesten Stand halten. Verschiedene Regierungsorganisationen haben berichtet, dass staatlich unterstützte Bedrohungsakteure alle Anbieter, einschliesslich bekannter, aber ungepatchter Schwachstellen, ins Visier nehmen. Im Allgemeinen ist die beste Verteidigung gegen jede bekannte Schwachstelle die Einhaltung guter Cyber-Hygiene-Praktiken, einschliesslich Upgrades.
Der 2H 2023 Global Threat Landscape Report von FortiGuard Labs hat herausgefunden, dass Bedrohungsakteure durchschnittlich 4,76 Tage nach der öffentlichen Bekanntgabe einer neuen Schwachstelle eine bekannte Schwachstelle ausnutzen. In diesem Klima haben sowohl Anbieter als auch Kunden eine Rolle zu spielen. Anbieter müssen robuste Sicherheitsprüfungen in allen Phasen des Produktentwicklungslebenszyklus einführen und sich der verantwortungsvollen Transparenz in ihren Schwachstellenmeldungen widmen. Mit mehr als 40.000 aufgezeichneten Schwachstellen im Jahr 2024 basierend auf Daten von NIST ist es auch von entscheidender Bedeutung, dass Kunden ein strenges Patch-Regime einhalten, um das Risiko einer Ausnutzung zu verringern.
In Bezug auf diesen Vorfall hat Fortinet direkt mit identifizierten betroffenen Kunden kommuniziert, die auf Basis der verfügbaren Telemetrie Massnahmen ergreifen müssen. Fortinet empfiehlt jedoch allen Kunden, unabhängig davon auf eine dieser empfohlenen Versionen zu upgraden.
Fortinet hat auch viele Änderungen integriert, um die Sicherheitsfunktionen weiter zu verbessern, die sich mit den wichtigsten Herausforderungen der Kunden befassen und für Kunden verfügbar sind, die auf die neueste Version aktualisieren, einschliesslich, aber nicht beschränkt auf:
- Zusätzliche Kompilierungszeit-Härtung, um die Angriffsbarriere auf Produkte zu erhöhen.
- Virtuelles Patchen, um Probleme vor der Patch-Verarbeitung zu mildern.
- Implementierung der Firmware-Integritätsvalidierung in Hardware (BIOS).
- Einführung der Integrity Measurement Architecture (IMA) / Filesystem Integrity.
- Automatische Updates, um Geräte nahtlos gegen Schwachstellen zu patchen, ohne dass Administratoren eingreifen müssen.
Fortinet ermutigt Kunden weiterhin, die FortiOS-Best-Practice-Ressourcen zu nutzen, einschliesslich Anleitungen zur Systemhärtung sowie Funktionen, die Kunden helfen, den Aktualisierungsprozess zu automatisieren, wie Uninterrupted Cluster Upgrade, Sub-second failover, Fail-over protection, Auto-restore configs / Configuration revisions und Automatic / Scheduled patch upgrades.
Quelle: https://www.fortinet.com/blog/psirt-blogs/analysis-of-threat-actor-activity
add 15.04.2025 - 4Tinu | Microsoft Copilot
hat mir geholfen
Vulnerabilities
|
Was bedeutet "FortiBleed"?
Einleitung:
FortiBleed beschreibt eine gross angelegte Credential-Exposure- und Exploitation-Kampagne gegen internetexponierte Fortinet FortiGate Firewalls
und SSL-VPN-Gateways. Laut öffentlicher Berichterstattung wurden über 73'000 eindeutige Fortinet-Firewall-URLs in 194 Ländern mit kompromittierten
oder validierten Zugangsdaten in Verbindung gebracht. Die Kampagne zeigt deutlich, dass nicht nur klassische Schwachstellen,
sondern auch wiederverwendete, geleakte oder unzureichend geschützte Zugangsdaten ein kritisches Risiko für Perimeter-Systeme darstellen.
Ursache:
Die Ursache von FortiBleed liegt nach aktuellem Kenntnisstand nicht in einer bestätigten einzelnen Zero-Day-Schwachstelle oder einem eindeutig
zugeordneten CVE. Vielmehr handelt es sich um eine Kombination aus internetweit erreichbaren Fortinet-Instanzen, historischen Credential-Leaks,
Credential-Stuffing, Brute-Force-Aktivitäten und potenziell bereits kompromittierten Zugangsdaten. Angreifer haben automatisiert nach exponierten
FortiGate- und SSL-VPN-Systemen gesucht und diese gegen grosse Sammlungen bekannter Benutzernamen und Passwörter getestet.
Besonders kritisch ist, dass auch komplexe Passwörter betroffen sein können, wenn sie bereits durch Infostealer-Malware, frühere Datenabflüsse oder
unsichere Wiederverwendung in Klartextdatenbanken vorhanden waren. Die eigentliche Schwachstelle ist daher häufig nicht die Passwortlänge, sondern
die fehlende Kontrolle über die Herkunft, Wiederverwendung und Absicherung von Credentials auf sicherheitskritischen Edge-Systemen.
Was bedeutet der „Bleed“ bei FortiBleed?
Der Begriff Bleed beschreibt in diesem Kontext das fortlaufende Abfliessen von Zugangsdaten und Authentifizierungsinformationen aus
kompromittierten Umgebungen. Sobald Angreifer Zugriff auf ein Fortinet-Gateway erhalten, kann das System als Beobachtungspunkt an der Netzwerkgrenze
missbraucht werden. Darüber lassen sich weitere Anmeldeinformationen aus VPN-, Verwaltungs- oder nachgelagerten Netzwerkverbindungen identifizieren,
sammeln und erneut für weitere Angriffe verwenden.
Dieser Prozess ist besonders gefährlich, weil er sich selbst verstärken kann: Bereits bekannte Zugangsdaten ermöglichen den ersten Zugriff, der Zugriff
ermöglicht die Sammlung weiterer Credentials, und diese neuen Credentials werden anschliessend wieder für zusätzliche Systeme getestet.
Dadurch entsteht ein automatisierter Kreislauf, der über eine einzelne Firewall hinausgehen und sich bis in interne Verzeichnisdienste wie
Active Directory ausweiten kann.
Impact
Der Impact ist hoch, weil FortiGate-Firewalls und SSL-VPN-Gateways typischerweise direkt am Netzwerkperimeter betrieben werden.
Ein erfolgreicher Zugriff kann Angreifern ermöglichen, administrative Schnittstellen zu missbrauchen, VPN-Zugänge zu verwenden,
Traffic zu beobachten, zusätzliche Zugangsdaten zu erbeuten und sich lateral in interne Netzwerke zu bewegen. Besonders kritisch ist dies für
Organisationen mit exponierten Management-Interfaces, fehlender Multi-Faktor-Authentifizierung oder unzureichender Protokollüberwachung.
Ein weiterer Risikofaktor ist die mögliche Persistenz. Selbst wenn ein Passwort später geändert oder eine bekannte Schwachstelle gepatcht wird,
können Angreifer bereits zusätzliche Konten, Tokens, Konfigurationen oder interne Zugangspfade gesammelt haben. Deshalb reicht eine reine
Passwortänderung in vielen Fällen nicht aus. Du musst davon ausgehen, dass ein kompromittierter Perimeter-Zugang eine vollständige
Incident-Response-Prüfung erfordert.
Empfohlene Massnahmen
- Prüfe alle internetexponierten FortiGate- und SSL-VPN-Systeme auf verdächtige Login-Versuche, ungewöhnliche Admin-Aktivitäten und unbekannte VPN-Sessions.
- Erzwinge umgehend eine Rotation aller lokalen, administrativen und VPN-bezogenen Zugangsdaten auf betroffenen oder potenziell exponierten Systemen.
- Aktiviere Multi-Faktor-Authentifizierung konsequent für VPN-Zugänge, Administrator-Konten und privilegierte Benutzer.
- Beschränke Management-Zugriffe auf dedizierte Admin-Netze, vertrauenswürdige IP-Adressen oder sichere Out-of-Band-Zugänge.
- Deaktiviere unnötige öffentliche Verwaltungsoberflächen und stelle sicher, dass nur zwingend benötigte Services aus dem Internet erreichbar sind.
- Aktualisiere FortiOS, FortiGate- und SSL-VPN-Komponenten auf die vom Hersteller empfohlenen Versionen und prüfe zusätzlich alle relevanten Fortinet Security Advisories.
- Analysiere FortiGate-Konfigurationen auf unbekannte Admin-Konten, manipulierte Policies, verdächtige VPN-Profile und unautorisierte Änderungen.
- Überprüfe Active Directory, RADIUS, LDAP und andere angebundene Authentifizierungssysteme auf verdächtige Anmeldeereignisse und laterale Bewegungen.
- Setze Credential-Hygiene durch: keine Passwortwiederverwendung, regelmässige Überprüfung gegen bekannte Leaks und strikte Trennung von Service-, Admin- und Benutzerkonten.
- Führe bei Verdacht auf Kompromittierung eine vollständige Incident-Response-Analyse durch, inklusive Log-Sicherung, forensischer Prüfung und Bewertung möglicher Datenexfiltration.
Technische Einschätzung
FortiBleed sollte nicht als isolierter Produktfehler betrachtet werden, sondern als Warnsignal für den Schutz von Edge-Infrastrukturen.
Du solltest Fortinet-Systeme am Perimeter wie kritische Identitäts- und Zugriffskomponenten behandeln. Entscheidend sind starke Authentifizierung,
eingeschränkte Erreichbarkeit, konsequentes Patching, saubere Credential-Prozesse und ein Monitoring, das nicht nur Schwachstellen,
sondern auch missbräuchliche Nutzung gültiger Zugangsdaten erkennt.
add 19.06.2026 - 4Tinu | Microsoft Copilot hat mir geholfen
|
|
OpenSSL - CVE-2025-15467
Problembeschreibung
Das Parsen einer CMS AuthEnvelopedData-Nachricht mit absichtlich manipulierten AEAD-Parametern kann einen Stack-Buffer-Overflow auslösen.
Ein Stack-Buffer-Overflow kann zu einem Absturz führen, was wiederum einen Denial-of-Service (DoS) verursacht oder potenziell sogar eine
Remotecodeausführung ermöglicht. Beim Parsen von CMS AuthEnvelopedData-Strukturen, die AEAD-Verschlüsselungen wie AES-GCM verwenden,
wird der im ASN.1-Parameter kodierte IV (Initialisierungsvektor) in einen Stack-Puffer fester Grösse kopiert, ohne zu überprüfen, ob dessen Länge in das Ziel passt.
Ein Angreifer kann eine speziell präparierte CMS-Nachricht mit einem zu grossen IV bereitstellen, was zu einem Stack-basierten Schreibzugriff ausserhalb
der vorgesehenen Grenzen führt, noch bevor eine Authentifizierung oder Tag-Prüfung stattfindet. Anwendungen und Dienste, die nicht
vertrauenswürdige CMS* oder PKCS#7-Inhalte mit AEAD-Verschlüsselungen (z. B. S/MIME AuthEnvelopedData mit AES-GCM) verarbeiten, sind gefährdet.
Da der Overflow vor der Authentifizierung auftritt, ist kein gültiges Schlüsselmaterial erforderlich, um ihn auszulösen.
Die Ausnutzbarkeit zur Remotecodeausführung hängt zwar von Plattform* und Toolchain-Schutzmechanismen ab, aber der Stack-basierte Schreibzugriff stellt ein erhebliches Risiko dar.
Die FIPS-Module in den Versionen 3.6, 3.5, 3.4, 3.3 und 3.0 sind von diesem Problem nicht betroffen,
da die CMS-Implementierung ausserhalb des OpenssL-FIPS-Moduls liegt.
- OpenssL 3.6, 3.5, 3.4, 3.3 und 3.0 sind jedoch anfällig für dieses Problem.
- OpenssL 1.1.1 und 1.0.2 sind davon nicht betroffen.
Fortinet PSIRT untersucht derzeit die Auswirkungen dieses CVE auf die Fortinet-Produkte.
betroffen..
Bedrohungslevel:
- Severity : Critical
- Die Bedrohung wird mit einem CVssv3 Score von 9.8 eingestuft!
Nicht Betroffene Systeme (Stand 25.03.2026)
- FortiAP
- FortiWeb
- FortiVoice
- FortiTester
- FortiSwitch
- FortiSandbox
- FortiSOAR
- FortiSIEM
- FortiRecorder
- FortiPortal
- FortiOS
- FortiNAC-F
- FortiNAC
- FortiManager
- FortiMail
- FortiExtender
- FortiDDoS
- FortiConverter
- FortiCloud
- FortiClient Windows
- FortiClient MacOS
- FortiClient Linux
- FortiAuthenticator
- FortiAnalyzer
- FortiAP-W2
- FortiAP-U
- FortiClient iOS
- FortiClient Android
- FortiClient EMS
- FortiWebManager
- FortiADC
- FortiADC Manager
- FortiProxy
Weitere Informationen findet man unter folgenden externen Artikeln:
PSIRT FortiGuard:
CVE Informationen
Weitere Referenzen:
edit 25.03.2026 * 4Tinu
|
|
Administrative FortiCloud SSO authentication bypass - FG-IR-26-060
Problembeschreibung
Eine Schwachstelle vom Typ „Authentication Bypass Using an Alternate Path or Channel“ [CWE-288] in FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb kann es einem Angreifer mit einem
FortiCloud-Konto und einem registrierten Gerät ermöglichen, sich an anderen Geräten anzumelden, die bei anderen Konten registriert sind,
sofern auf diesen Geräten die FortiCloud SSO-Authentifizierung aktiviert ist.
Bitte beachte, dass die FortiCloud SSO-Anmeldefunktion in den Werkseinstellungen standardmässig deaktiviert ist.
Wenn Du jedoch das Gerät über die Geräteeinstellungen bei FortiCare registrierst, wird FortiCloud SSO für die Anmeldung aktiviert,
sofern Du beim Registrierungsprozess die Option Allow administrative login using FortiCloud SSO nicht deaktivierst.
Diese Schwachstelle wurde bereits aktiv ausgenutzt:
- Zwei böswillige FortiCloud-Konten wurden dabei am 22.01.2026 gesperrt.
- Um weiteren Missbrauch zu verhindern, hat Fortinet am 26.01.2026 die FortiCloud SSO-Funktion serverseitig deaktiviert.
- Am 27.01.2026 wurde sie wieder aktiviert, unterstützt jedoch keine Anmeldungen mehr von Geräten mit verwundbaren Versionen.
Du musst daher auf die unten aufgeführten neuesten Versionen aktualisieren, damit FortiCloud SSO weiterhin genutzt werden kann.
- FortiManager Cloud, FortiAnalyzer Cloud und FortiGate Cloud sind nicht betroffen.
- Setups mit einem eigenen IdP für SSO statt FortiCloud sind nicht betroffen (einschliesslich Setups mit FortiAuthenticator als Custom IdP).
Bedrohungslevel:
- Severity : Critical
- Die Bedrohung wird mit einem CVSSv3 Score von 9.4 eingestuft!
Betroffene Systeme:
FortiAnalyzer
- FortiAnalyzer 7.6 : 7.6.0 - 7.6.5
- FortiAnalyzer 7.4 : 7.4.0 - 7.4.9
- FortiAnalyzer 7.2 : 7.2.0 - 7.2.11
- FortiAnalyzer 7.0 : 7.0.0 - 7.0.15
- FortiAnalyzer 6.4 : 6.4.x ist nicht betroffen
FortiManager
- FortiManager 7.6 : 7.6.0 - 7.6.5
- FortiManager 7.4 : 7.4.0 - 7.4.9
- FortiManager 7.2 : 7.2.0 - 7.2.11
- FortiManager 7.0 : 7.0.0 - 7.0.15
- FortiManager 6.4 : 6.4.x ist nicht betroffen
FortiGate:
- FortiOS 8.0 : 8.0.x ist nicht betroffen
- FortiOS 7.6 : 7.6.0 - 7.6.5
- FortiOS 7.4 : 7.4.0 - 7.4.10
- FortiOS 7.2 : 7.2.0 - 7.2.12
- FortiOS 7.0 : 7.0.0 - 7.0.18
- FortiOS 6.4 : 6.4.x ist nicht betroffen
FortiProxy:
- FortiProxy 7.6 : 7.6.0 - 7.6.4
- FortiProxy 7.4 : 7.4.0 - 7.4.12
- FortiProxy 7.2 : 7.2.x Alle Versionen
- FortiProxy 7.0 : 7.0.x Alle Versionen
FortiWeb:
- FortiWeb 8.0 : 8.0.0 - 8.0.3
- FortiWeb 7.6 : 7.6.0 - 7.6.6
- FortiWeb 7.4 : 7.4.0 - 7.6.6
- FortiWeb 7.2 : 7.2.x ist nicht betroffen
- FortiWeb 7.0 : 7.0.x ist nicht betroffen
FortiSwitch Manager:
- Dieses Produkt wird noch untersucht ob es auch betroffen ist.
Lösung:
Auf folgende Versionen upgraden, damit die Sicherheitslücke geschlossen wird.
FortiAnalyzer
- FortiAnalyzer 7.6 : upgraden auf 7.6.6 Version bald verfügbar - Stand 29.01.2026
- FortiAnalyzer 7.4 : upgraden auf 7.4.10 oder höher
- FortiAnalyzer 7.2 : upgraden auf 7.2.12 Version bald verfügbar - Stand 29.01.2026
- FortiAnalyzer 7.0 : upgraden auf 7.0.16 Version bald verfügbar - Stand 29.01.2026
FortiManager
- FortiManager 7.6 : upgraden auf 7.6.6 Version bald verfügbar - Stand 29.01.2026
- FortiManager 7.4 : upgraden auf 7.4.10 oder höher
- FortiManager 7.2 : upgraden auf 7.2.13 Version bald verfügbar - Stand 29.01.2026
- FortiManager 7.0 : upgraden auf 7.0.16 Version bald verfügbar - Stand 29.01.2026
FortiGate:
- FortiOS 7.6 : upgraden auf 7.6.6 oder höher
- FortiOS 7.4 : upgraden auf 7.4.11 oder höher
- FortiOS 7.2 : upgraden auf 7.2.13 oder höher
- FortiOS 7.0 : upgraden auf Version bald verfügbar - Stand 30.01.2026
FortiProxy:
- FortiProxy 7.6 : upgraden auf 7.6.6 Version bald verfügbar - Stand 29.01.2026
- FortiProxy 7.4 : upgraden auf 7.4.13 Version bald verfügbar - Stand 29.01.2026
- FortiProxy 7.2 : upgraden auf 7.2.x migrieren auf eine Supportete Version (7.6.6 oder 7.4.13)
- FortiProxy 7.0 : upgraden auf 7.0.x migrieren auf eine Supportete Version (7.6.6 oder 7.4.13)
FortiWeb:
- FortiWeb 8.0 : upgraden auf 8.0.4 Version bald verfügbar - Stand 29.01.2026
- FortiWeb 7.6 : upgraden auf 7.6.7 Version bald verfügbar - Stand 29.01.2026
- FortiWeb 7.4 : upgraden auf 7.4.12 Version bald verfügbar - Stand 29.01.2026
Weitere Massnahmen und Workaround:
Die FortiCloud SSO-Authentifizierung unterstützt keine Anmeldungen mehr von Geräten mit verwundbaren Versionen.
Daher ist es derzeit nicht notwendig, die FortiCloud SSO-Anmeldung auf der Client-Seite zu deaktivieren.
Zur Referenz kann dies dennoch wie folgt durchgeführt werden:
Bei FortiOS und FortiProxy:
Konfiguration über das WebGui:
|
|
Zum Deaktivieren der FortiCloud-Login-Funktion navigierst Du zu:
System → Settings →Allow administrative login using FortiCloud SSO Option deaktivieren.
|
Konfiguration über die CLI:
|
config system global
set admin-forticloud-sso-login disable
end
|
Beim FortiManager oder FortiAnalyzer:
Konfiguration über das WebGui:
|
|
Zum Deaktivieren der FortiCloud-Login-Funktion navigierst Du zu:
System Settings → SAML SSO →Allow admins to login with FortiCloud Option deaktivieren.
|
Konfiguration über die CLI:
|
config system saml
set forticloud-sso disable
end
|
Idicators of Compromise
SSO-Login-Benutzerkonten:
Der Angreifer wurde dabei beobachtet, sich mit den folgenden Benutzerkonten anzumelden:
- cloud-noc@mail.io
- cloud-init@mail.io
Fortinet geht davon aus, dass sich diese Adressen in Zukunft ändern könnten, da Massnahmen ergriffen wurden, um diese Konten zu neutralisieren.
IP-Adressen:
Der Angreifer wurde beobachtet, wie er sich über mehrere IP-Adressen angemeldet hat und offenbar auf durch Cloudflare geschützte IPs gewechselt ist:
- 104.28.244.115
- 104.28.212.114
- 104.28.212.115
- 104.28.195.105
- 104.28.195.106
- 104.28.227.106
- 104.28.227.105
- 104.28.244.114
Adressen die nicht von Fortinet sondern von Drittpersonen beobachtet wurden:
- 37[.]1.209.19
- 217[.]119.139.50
Bösartige Erstellung lokaler Konten:
Nach der Authentifizierung via SSO wurde beobachtet, dass der Angreifer ein lokales Administratorkonto mit einem der folgenden Namen erstellt.
Diese Namen haben sich im Verlauf der Analyse geändert. Daher empfiehlt Fortinet, alle Administratorkonten zu überprüfen, um unerwartete Einträge zu identifizieren:
- audit
- backup
- itadmin
- secadmin
- support
- backupadmin
- deploy
- itadmin
- remoteadmin
- security
- svcadmin
- system
|
In diesem Wiki Artikel wird erklärt, wie man eine Email bekommt, wenn eine Konfigurationsänderung vorgenommen wird.
|
Hauptoperationen des Angreifers:
- Herunterladen der Kunden-Konfigurationsdatei
- Hinzufügen eines Administratorkontos zur Erhaltung des Zugriffs (Persistenz)
Weitere Informationen findet man unter folgenden externen Artikeln:
PSIRT - FortiGuard:
CVE Informationen
Heise.de:
edit 30.01.2026 - 4Tinu
|
|
Heap-based buffer overflow in cw_acd daemon - FG-IR-25-084
Problembeschreibung
Eine heap-basierte Pufferüberlauf-Schwachstelle [CWE-122] in FortiOS und FortiSwitchManager cw_acd Daemon kann es einem remoten,
nicht authentifizierten Angreifer ermöglichen, beliebigen Code oder Befehle über speziell erstellte Anfragen auszuführen.
Das Vorhandensein von Sicherheitskontrollen wie ASLR und PIE erhöht die Komplexität und den Vorbereitungsaufwand für die Ausnutzung erheblich.
Bedrohungslevel:
- Severity : High
- Die Bedrohung wird mit einem CVSSv3 Score von 7.4 eingestuft!
Betroffene Systeme:
FortiGate:
- FortiOS 7.6.0 - 7.6.3
- FortiOS 7.4.0 - 7.4.8
- FortiOS 7.2.0 - 7.2.11
- FortiOS 7.0.0 - 7.0.17
- FortiOS 6.4.0 - 6.4.16
FortiSwitchManager:/
- FortiSwitchManager 7.2.0 bis 7.2.6
- FortiSwitchManager 7.0.0 bis 7.0.5
Lösung:
Auf folgende Versionen upgraden, damit die Sicherheitslücke geschlossen wird.
FortiGate:
- FortiOS 7.6.4 oder höher
- FortiOS 7.4.9 oder höher
- FortiOS 7.2.12 oder höher
- FortiOS 7.0.18 oder höher
- FortiOS 6.4.17 (wird folgen)
FortiSwitchManager:/
- FortiSwitchManager 7.2.7 oder höher
- FortiSwitchManager 7.0.6 oder höher
Weitere Massnahmen und Workaround:
Bei jedem Interface den fabric Zugriff entfehrnen.
Beispiel Konfiguration:
Ausgangslage:
config system interface
edit "port1"
set allowaccess fabric ssh https
next
end
ändern zu:
config system interface
edit "port1"
set allowaccess ssh https
next
end
eine Weitere Massnahme ist es den zum CAPWAP Daemon verweigern.
Für jedes interface mit dem fabric service, mit einer Localin Policy die CAPWAP-CONTROL Ports (udp 5246 - 5249) blockieren.
Beispiel:
config firewall service custom
edit "CAPWAP-CONTROL"
set udp-portrange 5246-5249
next
end
config firewall addrgrp
edit "CAPWAP_DEVICES_IPs"
set member "my_allowed_addresses" <-- IP adressen welche erlaubt sind
end
config firewall local-in-policy
edit 1 <-- Regel welche den Zugriff erlaubt.
set intf "port1" <-- Interfaces bei welchem fabric aktiviert ist
set srcaddr "CAPWAP_DEVICES_IPs"
set dstaddr "all"
set service "CAPWAP-CONTROL"
set schedule "always"
set action accept
next
edit 2 <-- Regel welche alle anderen Interfaces blockiert mit dem
set intf "any"
set srcaddr "all'
set dstaddr "all"
set service "CAPWAP-CONTROL"
set schedule "always"
set action deny
next
end
Weitere Informationen findet man unter folgenden externen Artikeln:
PSIRT - FortiGuard:
CVE Informationen
add 21.01.2026 - 4Tinu
|
|
Multiple Fortinet Products FortiCloud SSO Login Authentication Bypass - CVE-2025-59718 und CVE-2025-59719
Problembeschreibung
Eine Schwachstelle aufgrund unzureichender Verifizierung kryptographischer Signaturen (CWE-347) in FortiOS, FortiWeb, FortiProxy und FortiSwitchManager
kann es einem nicht authentifizierten Angreifer ermöglichen, die FortiCloud-SSO-Login-Authentifizierung durch eine manipulierte SAML-Nachricht zu umgehen,
sofern diese Funktion auf Deinem Gerät aktiviert ist.
Bedrohungslevel:
- Severity : Critical
- Die Bedrohung wird mit einem CVSSv3 Score von 9.1 eingestuft!
Betroffene Systeme:
FortiGate:
- FortiOS 7.6.0 - 7.6.4
- FortiOS 7.4.0 - 7.4.8
- FortiOS 7.2.0 - 7.2.11
- FortiOS 7.0.0 - 7.0.17
- FortiOS 6.4.x ist nicht betroffen
FortiProxy:
- FortiProxy 7.6.0 bis 7.6.3
- FortiProxy 7.4.0 bis 7.4.10
- FortiProxy 7.2.0 bis 7.2.14
- FortiProxy 7.0.0 bis 7.0.21
FortiWeb:
- FortiWeb 8.0.0
- FortiWeb 7.6.0 bis 7.6.4
- FortiWeb 7.4.0 bis 7.4.9
- FortiWeb 7.2.x ist nicht betroffen
- FortiWeb 7.0.x ist nicht betroffen
FortiSwitchManager:/
- FortiSwitchManager 7.2.0 bis 7.2.6
- FortiSwitchManager 7.0.0 bis 7.0.5
Lösung:
Auf folgende Versionen upgraden, damit die Sicherheitslücke geschlossen wird.
FortiGate:
- FortiOS 7.6.4 oder höher
- FortiOS 7.4.9 oder höher
- FortiOS 7.2.12 oder höher
- FortiOS 7.0.18 oder höher
FortiProxy:
- FortiProxy 7.6.4 oder höher
- FortiProxy 7.4.11 oder höher
- FortiProxy 7.2.15 oder höher
- FortiProxy 7.0.22 oder höher
FortiWeb:
- FortiWeb 8.0.1 oder höher
- FortiWeb 7.6.5 oder höher
- FortiWeb 7.4.10 oder höher
FortiSwitchManager:/
- FortiSwitchManager 7.2.7 oder höher
- FortiSwitchManager 7.0.6 oder höher
Weitere Massnahmen und Workaround:
Um zu verhindern, dass betroffene Versionen durch diese Schwachstelle ausgenutzt werden, solltest Du die FortiCloud-Login-Funktion (falls aktiviert) vorübergehend deaktivieren,
bis ein Upgrade auf eine nicht betroffene Version durchgeführt wurde.
Konfiguration über das WebGui:
|
|
Zum Deaktivieren der FortiCloud-Login-Funktion navigierst Du zu:
System → Settings →Allow administrative login using FortiCloud SSO Option deaktivieren.
|
Konfiguration über die CLI:
|
config system global
set admin-forticloud-sso-login disable
end
|
|
Beachte, die FortiCloud-SSO-Login-Funktion ist per Default deaktiviert. Registrierst Du jedoch ein Gerät über die GUI bei FortiCare, wird FortiCloud SSO nach der Registrierung automatisch aktiviert.
|
Weitere Informationen findet man unter folgenden externen Artikeln:
PSIRT - FortiGuard:
CVE Informationen
NIST:
add 10.12.2025 - 4Tinu
|
|
FortiWeb - Path confusion vulnerability in GUI - CVE-2025-64446
Problembeschreibung:
Eine Schwachstelle zur Pfadmanipulation durch relative Pfadangaben (CWE-23) in FortiWeb kann einem nicht authentifizierten
Angreifer ermöglichen, administrative Befehle auf dem System auszuführen,
indem er speziell präparierte HTTP- oder HTTPS-Anfragen sendet.
Bedrohungslevel:
- Severity Critical
- Die Bedrohung wird mit einem CVSSv3 Score von 9.4 eingestuft!
Betroffene Systeme:
- FortiWeb 8.0 OS Version 8.0.0 bis 8.0.1
- FortiWeb 7.6 OS Version 7.6.0 bis 7.6.4
- FortiWeb 7.4 OS Version 7.4.0 bis 7.4.9
- FortiWeb 7.2 OS Version 7.2.0 bis 7.2.11
- FortiWeb 7.0 OS Version 7.0.0 bis 7.0.11
Wenn das HTTP/HTTPS-Managementinterface gemäss Best Practices nur intern zugänglich ist, ist das Risiko einer Kompromittierung deutlich reduziert.
Lösung:
Auf folgende Versionen kann upgedatet werden, damit diese Sicherheitslücke geschlossen wird:
- FortiWeb 8.0 upgraden auf 8.0.2 oder höher
- FortiWeb 7.6 upgraden auf 7.6.5 oder höher
- FortiWeb 7.4 upgraden auf 7.4.10 oder höher
- FortiWeb 7.2 upgraden auf 7.2.12 oder höher
- FortiWeb 7.0 upgraden auf 7.0.12 oder höher
Weitere Massnahmen und Workaround:
- Bei den externen Management Interfaces
HTTP und HTTPS Management Dienst deaktivieren.
- Zugriff auf bekannte und vertrauenswürdige Sourcen limitieren
- Es wird empfohlen, dass Du Deine Konfiguration überprüfst und die Logs auf unerwartete Änderungen oder das
Anlegen nicht autorisierter Administratorkonten kontrollierst.
Indicators of Compromise (Stand 18.11.2025)
Bekannte Angreifer IP Adressen:
107.152.41.19
144.31.1.63
89.169.55.168
185.192.70.33
185.192.70.53
185.192.70.43
185.192.70.25
185.192.70.36
185.192.70.49
185.192.70.39
185.192.70.57
185.192.70.50
185.192.70.46
185.192.70.31
64.95.13.8
Siehe: Integrity360 Shift + Linke Maustaste
Die Angreifer haben folgende Zugangsdaten verwendet:
Testpoint - AFodIUU3Sszp5
trader1 - 3eMIXX43
trader - 3eMIXX43
test1234point - AFT3$tH4ck
Testpoint - AFT3$tH4ck
Testpoint - AFT3$tH4ckmet0d4yaga!n
Siehe: Hacker News Shift + Linke Maustaste
Weitere Informationen findet man unter folgenden externen Artikeln:
PSIRT - FortiGuard:
CVE Informationen
Articwolf:
BSI - Deutschland:
The Hacker News:
edit 10.12.2025 - 4Tinu
|
|
Authentication bypass in Node.js websocket module - CVE-2024-55591
Problembeschreibung:
Eine gezielte Kampagne auf Fortinet FortiGate-Firewalls mit exponierten(externe) Managementinterfaces wurde identifiziert.
Bedrohungsakteure erlangten unbefugten administrativen Zugriff, indem sie neue Benutzerkonten erstellten, SSL-VPN-Zugriffe konfigurierten und laterale Bewegungen
innerhalb des Netzwerks durchführten. Der initiale Zugriffspfad ist bislang nicht bestätigt; es wird jedoch eine Zero-Day-Schwachstelle vermutet.
Auswirkung: Eine erfolgreiche Ausnutzung ermöglicht unautorisierte Konfigurationsänderungen, einschliesslich der Erstellung von gefälschten Administratorkonten und SSL-VPN-Zugängen,
was potenziell zur vollständigen Kompromittierung des Systems führen kann.
Bedrohungslevel:
- Severity Critical
- Die Bedrohung wird mit einem CVSSv3 Score von 9.6 eingestuft!
Betroffene Systeme:
- FortiGate mit FortiOS 7.0.0 - 7.0.16
- FortiProxy mit ProxyOS 7.2.0 - 7.2.12
- FortiProxy mit ProxyOS 7.0.0 - 7.0.19
Folgende FortiOS Versionen sind nicht betroffen:
- FortiOS 7.2.x
- FortiOS 7.4.x
- FortiOS 7.6.x
Lösung:
Auf folgende Versionen kann upgedatet werden, damit diese Sicherheitslücke geschlossen wird:
- Upgraden der FortiGate auf die Version 7.0.17 oder höher ⇒ (Das FortiOS 7.0.17 wurde am 14.1.2025 ausgerollt.)
- Upgraden vom FortiProxy auf die Version 7.2.13 oder höher
- Upgraden vom FortiProxy auf die Version 7.0.20 oder höher
Weitere Massnahmen und Workaround:
Weitere Informationen findet man unter folgenden externen Artikeln:
PSIRT - FortiGuard:
CVE Informationen
Articwolf:
BSI - Deutschland:
edit 15.01.2025 - 4Tinu
|
|
FortiManager Missing authentication in fgfmsd - CVE-2024-47575
Problembeschreibung:
Eine fehlende Authentifizierung für eine kritische Funktion [CWE-306] im FortiManager fgfmd Daemon kann es einem entfernten,
nicht authentifizierten Angreifer mit einem gültigen Fortinet-Zertifikat,
das von einem Fortinet-Gerät oder einer VM extrahiert wurde, ermöglichen, beliebigen Code oder Befehle über speziell gestaltete Anfragen
auszuführen.
Auswirkung: Unautorisierte Ausführung von Code oder Befehlen
Details: Ein entfernter, nicht authentifizierter Angreifer kann Berechtigungen umgehen und unautorisierte Befehle ausführen, was den Download von FortiManager-Konfigurationen ermöglichen kann, einschliesslich derjenigen der verwalteten FortiGate-Geräte.
FG-IR: FG-IR-24-423
Bedrohungslevel:
- Severity Critical
- Die Bedrohung wird mit einem CVSSv3 Score von 9.8 eingestuft!
Betroffene Systeme:
- FortiManager 7.6.0 und älter
- FortiManager 7.4.0 bis 7.4.4
- FortiManager 7.2.0 bis 7.2.7
- FortiManager 7.0.0 bis 7.0.12
- FortiManager 6.4.0 bis 6.4.14
- FortiManager 6.2.0 bis 6.2.12
- FortiManager Cloud 7.6 ist nicht betroffen
- FortiManager Cloud 7.4.1 bis 7.4.4
- FortiManager Cloud 7.2.1 bis 7.2.7
- FortiManager Cloud 7.0.1 bis 7.0.12
- FortiManager Cloud 6.4 sind alle Versionen betroffen
Lösung:
Auf folgende Versionen kann upgedatet werden, damit diese Sicherheitslücke geschlossen wird:
- Upgraden auf die FortiManager Cloud Version 7.4 upgraden auf die Version 7.4.5 oder höher
- Upgraden auf die FortiManager Cloud Version 7.2 upgraden auf die Version 7.2.5 oder höher
- Upgraden auf die FortiManager Cloud Version 7.0 upgraden auf die Version 7.0.5 oder höher
- Upgraden auf die FortiManager Cloud Version 6.4 auf eine höhere GA Version upgraden/migrieren
Die alten FortiAnalyzer-Modelle
- 1000E
- 1000F
- 2000E
- 3000E
- 3000F
- 3000G
- 3500E
- 3500F
- 3500G
- 3700F
- 3700G
- 3900E
mit der folgenden aktivierten Funktion (FortiManager auf FortiAnalyzer):
Konfiguration über die CLI:
|
config system global
set fmg-status enable
end
|
Ebenfalls ist mindestens ein Interface mit aktiviertem fgfm-Dienst von dieser Sicherheitslücke betroffen.
Workarounds:
Massnahme 1:
Auf dem FortiManager der Versionen <=7.0.12, <=7.2.5 oder <=7.4.3 (ausser 7.6.0) kann mit folgender Konfiguration verhindert werden, dass unbekannte Geräte sich versuchen zu registrieren:
Konfiguration über die CLI:
|
config system global
set fgfm-deny-unknown enable
end
|
Wenn du diese Einstellung aktivierst, verhindert FortiManager, dass sich ein FortiGate-Gerät registriert, falls dessen Seriennummer nicht in der Geräteliste hinterlegt ist, selbst wenn das Modellgerät und der vorab geteilte Schlüssel (PSK) übereinstimmen.
|
|
Massnahme 2:
Für alle FortiManager ab der Version 7.2.0 kannst du Abhilfemassnahmen ergreifen, indem du lokale Firewallregeln (Local-In-Regeln) erstellst.
Damit kannst du die IP-Adressen der FortiGate-Geräte, welche eine Verbindung herstellen dürfen, auf eine Freigabeliste zu setzen.
Alternativ kannst du dies auch über einer externen Firewall welche vor dem FortiManager platziert ist, im Regelset konfigurieren.
Um eine lokale Firewallregel auf dem FortiManager zu konfigurieren, die Verbindungen von einem bekannten Subnetz, z. B. 198.18.250.0/24 (Verwaltungsnetzwerk),
sowie der spezifischen IP-Adresse 10.250.17.2 (FortiGate-Gerät) zulässt, verwende folgende Regeln:
Konfiguration über die CLI:
|
config system local-in-policy
edit 1
set action accept
set src 198.18.250.0/24
set dport 443 <--- WebGui Adminport
next
edit 2
set action accept
set src 198.18.250.0/24
set dport 22 <--- SSH Adminport
next
edit 3
set action accept
set src 10.250.17.2/32
set dport 541 <--- Erlaube nur TCP/541 von bekannten FortiGate-IP-Adressen.
next
edit 4
next
end
|
Es ist wichtig zu beachten, dass die Regel 4 im Beispiel alle Einstellungen auf "Standard" hat.
Dadurch wird diese zu einer expliziten Drop-Regel, die den Zugriff von allen anderen IP-Adressen blockiert.
|
|
Weitere Informationen betreffend Local-In-Regeln auf dem FortiManager findet man im CLI Guide:
Massnahme 3:
Für Versionen 7.2.2 und höher, 7.4.0 und höher, 7.6.0 und höher ist es auch möglich, ein benutzerdefiniertes Zertifikat zu verwenden, um die Sicherheitslücke zu beheben:
Konfiguration über die CLI:
|
config system global
set fgfm-ca-cert <Zertifikat>
set fgfm-cert-exclusive enable
end
|
- Installiere dieses Zertifikat auf den FortiGate-Geräten.
- Nur dieses CA-Zertifikat wird akzeptiert.
- Dies bietet einen zusätzlichen Schutz, sofern der Angreifer kein Zertifikat erhält, das von dieser CA signiert wurde.
|
Für FortiManager-Versionen 6.2, 6.4 und 7.0.11 und darunter, führe bitte ein Upgrade auf eine der oben genannten Versionen durch und wende die entsprechenden Workarounds an.
|
Weitere Informationen findet man unter folgenden externen Artikeln:
PSIRT - FortiGuard:
Informationen CVE-2024-47575
Informationen auf Heise.de:
Google:
add 14.10.2024 - 4Tinu
|
|
Sicherheitsluecke Heap buffer overflow in sslvpn pre-authentication - CVE-2023-27997
Problembeschreibung:
Eine neue kritische Sicherheitslücke, die derzeit noch nicht öffentlich bekannt ist, betrifft Fortinets Fortigate-Firewalls, genauer gesagt die SSL-VPN-Funktionen.
Die Sicherheitslücke ermöglicht es auf allen FortiGate mit aktivem SSL-VPN sich ohne Authentifizierung diese Schwachstelle auszunutzen.
Bedrohungslevel:
Der Schweregrad der Sicherheitslücke wird mit 9.3 !! eingestuft
Betroffene Systeme:
FortiOS Versionen:
- FortiOS Version 7.2.0 bis 7.2.4
- FortiOS Version 7.0.0 bis 7.0.11
- FortiOS Version 6.4.0 bis 6.4.12
- FortiOS Version 6.0.0 bis 6.0.16
- Das FortiOS 7.4.0 ist nicht betroffen.
FortiProxy Versionen:
- FortiProxy Version 7.2.0 bis 7.2.3
- FortiProxy Version 7.0.0 bis 7.0.9
- FortiProxy Version 2.0.0 bis 2.0.12
- FortiProxy 1.2 alle Versionen
- FortiProxy 1.1 alle Versionen
FortiOS-6K7K Versionen:
- FortiOS-6K7K Version 7.0.10
- FortiOS-6K7K Version 7.0.5
- FortiOS-6K7K Version 6.4.12
- FortiOS-6K7K Version 6.4.10
- FortiOS-6K7K Version 6.4.8
- FortiOS-6K7K Version 6.4.6
- FortiOS-6K7K Version 6.4.2
- FortiOS-6K7K Version 6.2.9 bis 6.2.13
- FortiOS-6K7K Version 6.2.6 bis 6.2.7
- FortiOS-6K7K Version 6.2.4
- FortiOS-6K7K Version 6.0.12 bis 6.0.16
- FortiOS-6K7K Version 6.0.10
Liste wurde von hier entnommen:
Workaround:
Das SSL-VPN auf der FortiGate deaktivieren, bis das Gerät auf einer der unter Lösung aufgeführten FortiOS Versionen, upgedatet werden kann.
Lösung:
Um die Sicherheitslücke im betroffenen FortiOS zu schliessen auf einer der folgenden FortiOS Versionen updaten.
FortiOS
FortiProxy
FortiOS-6K7K
Weitere empfohlene Massnahmen:
Neben der Überwachung von Sicherheitshinweisen und dem sofortigen Patchen von Systemen empfiehlt Fortinet dringend Folgendes:
- Überprüfen der Systeme auf Hinweise auf die Ausnutzung früherer Schwachstellen, z.B. FG-IR-22-377 / CVE-2022-40684
- Achte auf eine eine gute Cyber-Hygiene und befolge die Patching-Empfehlungen der Hersteller.
- Befolge die Hardering Empfehlung wie solche vom FortiOS Hardening Guide
- Minimiere die Angriffsfläche, indem ungenutzte Funktionen deaktivieren werden. (zum Beispiel das SSL-VPN)
- Benutze ein Out of Band Netz für das Managen der Geräte. (Dediziertes Management Netz, welches von allen anderen Netzen abgeschotet ist)
Weitere Informationen findet man unter folgenden externen Artikeln:
Heise DE:
PSIRT - FortiGuard:
CVE:
edit 22.05.2025 - 4Tinu
|
Support Alert
Was ist die Fortinet Support Bulletin Anouncing Page?
Fortinet Support Bulletin Announcing Page ist eine Seite in der Fortinet von Zeit zu Zeit wichtige Informationen zu BugFixes, Critical Bugs im Zusmmenhang mit dem Support der Fortinet Produkte lanciert:
Support Alert Meldungen
Hier findet man die Support Alert Meldungen welche wir noch ein wenig mit Hintergrund Informationen versuchen zu ergänzen:
|
FortiOS 7.0.4 Proxy-Modus Applikations Kontrolle - CSB-220207-1
Beschreibung:
Beim FortiOS 7.0.4 gibt ein potenzielles Problem mit Applikationscontroll Profile welche im Proxymodus verwendet werden.
Dabei werden SSL-insertifizierte Session vorzeitig geschlossen, was zu einem Unterbruch des Datentraffics führt.
Das Verhalten wird möglicherweise nicht sofort nach dem Upgrade auf 7.0.4 sichtbar sein.
Profile im Flow Modus sind davon nicht betroffen:
Betroffene Produkte:
Betroffene Betriebsysteme
Workaround im 7.0.4:
- Anstatt Proxy basierte Profile momentan Flow basierte Profile benutzen.
- Wenn das Problem auftritt, kann vorübergehend das starten des Wad-Proxy helfen:
diag test application wad 99
Konfiguration über die CLI:
|
diagnose test application wad 99
|
Lösung:
Im FortiOS 7.0.5 ist dieses Problem behoben. Daher empfehlen wir von 7.0.4 auf 7.0.5 upzugraden
Quelle:
https://support.fortinet.com/Information/Bulletin.aspx Bulletin CSB 220207-1 vom 9.2.2022
|
|
Zugriff auf Websites mit SSL-Überprüfung blockiert
Es scheint ein anhaltendes Problem mit der Zertifikatskette einer Stammzertifizierungsstelle (ISRG Root X1) zu geben.
Dieses Problem betrifft alle Anbieter von SSL-Inspektionsprodukten, unabhängig davon Full-Inspektion oder Zertifikats Inspektion verwendet wird.
|
Dieser Issue wird mit den folgenden FortiOS Releases behoben:
- FortiOS 6.2.10
- FortiOS 6.4.8
- Im FortiOS 7.0.3 ist der Bug leider immer noch enthalten.
Genaueres findet man in den Release Notes der entsprechenden Versionen unter Know Issues und Resolved Issues
|
Es besteht folgender Workaround (Stand 05.10.21):
Das Certificate Bundle (Version 1.28), welches die Expired Certificates ersetzt, ist neu auf FortiGuard erhältlich, und wird im Rahmen geplanter FortiGuard-Updates automatisch heruntergeladen.
Um dies zu valideren, ist folgender CLI-Befehl zu verwenden:
Konfiguration über die CLI
|
# diagnose autoupdate versions | grep -A5 '^Cert'
Certificate Bundle
---------
Version: 1.00028
|
Um das Certificate Bundle manuell upzudaten, ist folgender CLI-Befehl zu verwenden:
Konfiguration über die CLI
|
# execute update-now
|
Sobald das Certificate Bundle upgedatet wird, ist der Workaround anwendbar. Um sicherzustellen, dass das Expired Root CA nicht mehr verwendet wird, ist DNS Blackholing notwendig, welches FortiGate den Zugang zu apps.identrust.com blockiert.
Folgend ein Beispiel einer möglichen Konfiguration:
Konfiguration über die CLI
|
config system dns-database
edit "1"
set domain "identrust.com"
set authoritative disable
config dns-entry
edit 1
set hostname "apps"
set ip 127.0.0.1
next
end
next
end
*Hinweis: Sobald apps.identrust.com keine Expired CA Certificates mehr sendet, kann die Konfiguration entfernt werden
*Hinweis: Mittels Teil-Befehl "set authoritative disable" werden andere FQDNs (z.B. commercial.ocsp.identrust.com) weiterhin resolved
|
Sobald das oben-erwähnte DNS Blackholing aktiviert wird, können folgende (vorher getätigte) Änderungen wieder rückgängig gemacht werden:
1) Von Proxy zu Flow Inspection
2) Zwischenzeitliches Erlauben von Expired Certificates
Mehr Details zu den oberen Schritte findet man unter folgendem Link:
https://kb.fortinet.com/kb/documentLink.do?externalID=FD53305 -> "Technical Tip: Expiring Let’s Encrypt Certificates"
Wichtig: Falls das Problem weiterhin auftaucht, muss eventuell noch der IPS und WAD Cache gelehrt werden (siehe Details im oben-erwähnten KB-Artikel/Link)
Weitere, generelle Informationen findet man unter folgendem Link:
https://www.fortinet.com/blog/psirt-blogs/fortinet-and-expiring-lets-encrypt-certificates
Danke an Stefanie vom TAC Frankfurt, welche uns diese Information zugestellt hat
|
|
FortiAP Wireless Access Point upgrade Issue with HPE PoE Switches - CSB-210127-1
Wenn der Power over Ethernet (PoE)-Switch der Marke Hewlett Packard Enterprise (HPE) während eines Upgrades
für mehr als 120 Sekunden keine LLDP-Antwort (Link Layer Discovery Protocol) empfängt, kann er
die angeschlossenen FortiAP-Einheiten einseitig zurücksetzen oder ausschalten. Dies kann zum Anhalten des Upgrades
auf halbem Weg abbricht und somit zu einem Upgrade-Fehler führen kann. Dieses Problem kann auftreten, wenn ein Upgrade versucht wird
von einer beliebigen Software-Version 6.4.2 oder früher. Wenn die FortiAP-Einheit nicht mehr reagiert, wenden Sie sich bitte an den
Technischen Support von Fortinet.
Es kann ein Problem geben, wenn man einen FortiAP an einem POE-Switch von Hewlett Packard Enterprise (HPE) angeschlossen hat und den FortiAP upgraden will. Das Problem zeigt sich, wenn der FortiAP welcher am upgraden ist,
für mehr als 120 Sekunden keine LLPD Antwort ((Link Layer Discovery Protocol)) empfängt. Der FortiAP kann sich einseitig zurück setzen oder wird ausgeschalten. Dies kann zum stop oder Unterbruch des Upgrades führen und generiert so einen Upgrade Fehler.
Dieses Problem kann auftreten wenn ein FortiAP von einer x-beliebigen Software bis 6.4.2 einen upgrade durchführt.
Falls dieses Problem auftritt und der FortiAP nicht mehr reagiert, kann man sich an den TAC Support von Fortinet wenden. (Ticket mit der Serienummer des betroffenen FortiAP eröffnen.
Betroffene Produkte:
- Alle FortiAP Modelle der Serie E
- FortiAP 431F und 433F
Betroffene OS Versionen:
- FortiAP-W2 : 6.0 , 6.2, 6.4.0-6.4.2 (Für die E- Serie)
- FortiAP : 6.4 buld 5760 (für F-Serie 431F und 433F)
Workaround
Auf den HPE PoE-Switches müssen zuerst die LLDP-Funktion den Ports deaktivieren, auf welchem die FortiAP angeschlossen sind, welche upgegradet werden sollen.
Alternativ kann man auch global die LLPD Funktion deaktivieren.
gesamten Switch.
Konfiguration auf dem HPE Switch:
Lösung
Fortinet löst dieses Problem für FortiAP der Serie E im FortiOS FortiAP-W2 6.4.3 Build 0451
Für die FortiAP 431F und 433F wird es im FortiAP 6.4.3 Build 0155 behoben.
Nachdem alle betroffenen FortiAPs erfolgreich auf die Firmware Version 6.4.3 oder höher aktualisiert wurden, kann die LLDP-Funktion auf den Switches wieder aktiviert werden.
Customer Support Bulletin CSB-210127-1 vom 27.Januar 2021
|
|
FortiGuard Webserver nicht erreichbar
Problem Beschreibung:
Wir haben viele Meldungen bekommen, dass wen auf FortiOS 6.4 upgegradet wird, es Probleme gibt die Webfilter Server der FortiGuard zu erreichen. Dadurch werden in den Firewall Regeln, welche einen Webfilter oder DNS Filter aktiv haben, diverse Anfragen verworfen. Dies liegt daran, dass die Anfrage einer Webseite welche Kategorie diese hat die FortiGuard Server keine Antwort senden und so diese Anfrage als unrated eingestuft wird. Je nach dem wie man jetzt den Webfilter/DNS-Filter konfiguriert hat, wird die Aktion ausgeführt, welche bei unrated konfiguriert wurde:
Wenn man auf FortiOS 6.4 upgradet wird der Kommunikationsport von der FortiGuard von udp8888 oder udp53 auf tcp443 geändert.
Diesen Port kann man im Webgui nicht mehr anpassen und muss über die CLI zurück auf udp 8888 oder udp 53 gesetzt werden.
Workaround
config system fortiguard
set fortiguard-anycast disable
set protocol udp
set port 8888
end
In gewissen Situationen musste die FortiGate neu gestartet werden, dass der Effekt eintraf.
|
Es ist darauf zu achten, dass bei einer allfälligen Perimeter Firewall ausgehend der Port UDP-8888 freigeschalten werden muss.
|
Fortinet ist dieses Problem bekannt und es wird daran gearbeitet eine Lösung zu finden.
Stand 3.11.2020
|
|
FortiOS 7.6.3 SSL-VPN to IPsec VPN Migration - CSB-250416-1
Beschreibung:
Mit der Einführung und Veröffentlichung von FortiOS 7.6.3 hat Fortinet die Unterstützung für VPNs konsolidiert, wobei bestehende SSL-VPN-Tunnelmodus-Konfigurationsoptionen nicht mehr funktionieren werden.
Um ununterbrochenen Fernzugriff zu gewährleisten, musst Du Deine SSL-VPN-Tunnelmodus-Konfiguration vor dem Upgrade auf FortiOS 7.6.3 auf IPsec-VPN migrieren.
Wenn Du den SSL-VPN-Webmodus verwendest, bleiben Deine bestehenden Konfigurationen nach dem Upgrade erhalten und funktional, da sie als agentenloses VPN betrieben werden.
Es ist entscheidend, dass Du vor dem Upgrade auf FortiOS 7.6.3 die notwendigen Schritte unternimmst, um Deine VPN-Konfiguration anzupassen.
Fortinet hat umfassende Dokumentationen und Leitfäden bereitgestellt, die Dir dabei helfen können, diesen Übergang reibungslos zu gestalten. Stelle sicher, dass Du die Kompatibilität
deiner aktuellen VPN-Lösungen überprüfst und gegebenenfalls die empfohlenen Anpassungen vornimmst.
Zusätzlich bietet FortiOS 7.6.3 eine Reihe von Verbesserungen und neuen Funktionen, die die Leistung und Sicherheit Deines Netzwerks weiter steigern werden.
Das Upgrade auf IPsec-VPN ist nicht nur eine Notwendigkeit, sondern kann auch dazu beitragen, Deine Netzwerkarchitektur zukunftssicher zu gestalten.
Falls Du Unterstützung bei der Migration benötigst, steht Dir das ALSO-Team zur Verfügung, um Dich durch den Prozess zu führen und sicherzustellen,
dass alle Deine Anforderungen erfüllt werden.
Durch eine rechtzeitige und sorgfältige Vorbereitung kannst Du sicherstellen, dass der Übergang zu FortiOS 7.6.3 ohne Unterbrechungen oder Komplikationen erfolgt.
Betroffene Produkte:
Alle FortiGate Modelle
Betroffenes FortiOS:
FortiOS 7.6.3
Dokumentation Fortinet:
Dokumentation in diesem Wiki:
add 01.05.2025 - 4Tinu
|