Fortinet:Support-Alerts: Unterschied zwischen den Versionen

Aus Fortinet Wiki
Zur Navigation springen Zur Suche springen
 
 
(874 dazwischenliegende Versionen von 10 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
Fortigate:Support-Alerts
Fortigate:Support-Alerts  


[[Category:Fortinet]]
[[Category:Fortinet]]
Zeile 29: Zeile 29:
</pre>
</pre>


== CSRF Vulnerabilities ==
==Nuetzliche Links==


=== FortiGate Multiple CSRF (Cross-Site Request Forgery) Vulnerabilities 1. July 2013 (CVE-2013-1414) ===
'''PSIRT Blog Fortinet:'''
* https://www.fortinet.com/blog/psirt-blogs  <small>''mit Shift und Mausklick auf den Link öffnet sich ein neues Fenster''</small>
kann auch als RSS Feed gezogen werden!
* https://feeds.fortinet.com/fortinet/blog/ciso-collective&x=1
'''Fortinet Security Vulnerability Policy'''
* https://www.fortiguard.com/psirt_policy <small>''mit Shift und Mausklick auf den Link öffnet sich ein neues Fenster''</small>
'''Häufige Fragen werden hier beantwortet:''''
* https://www.fortiguard.com/faq <small>''mit Shift und Mausklick auf den Link öffnet sich ein neues Fenster''</small>
'''Wenn ich eine Sicherheitslücke in einem Fortinet Produkt finde, kann ich diese über folgendes Formular direkt an Fortinet melden:'''
* https://www.fortiguard.com/faq/psirt-contact <small>''mit Shift und Mausklick auf den Link öffnet sich ein neues Fenster''</small>
'''Customer Support Bulletin:'''
* https://support.fortinet.com/Information/Bulletin.aspx <small>''mit Shift und Mausklick auf den Link öffnet sich ein neues Fenster''</small>
kann auch als RSS Feed gezogen werden!
* https://support.fortinet.com/rss/csb.xml
----
<small>add 28.10.2022 - 4Tinu</small>


Multiple CSRF (Cross-Site Request Forgery) vulnerabilities exist in FortiGate because GUI pages are not protected by CSRF token. It could allow remote attackers to hijack the authentication of arbitrary users under certain conditions:
== Psirt ==
=== Wieso soll ich meine Fortigate Systeme immer auf einem aktuellen Software Stand haben? ===


        http://www.fortiguard.com/advisory/FGA-2013-22/  
'''Beschreibung'''<br>
Ein Bedrohungsakteur hat eine bekannte Schwachstelle ausgenutzt, um Lesezugriff auf anfällige FortiGate-Geräte zu implementieren. Dies wurde durch das Erstellen eines symbolischen Links erreicht, der das Benutzerdateisystem und das Root-Dateisystem in einem Ordner verbindet, der zum Bereitstellen von Sprachdateien für das ssL-VPN verwendet wird. Diese Änderung fand im Benutzerdateisystem statt und blieb unentdeckt. Daher könnte dieser symbolische Link zurückgeblieben sein, selbst wenn das Kunden-Gerät mit FortiOS-Versionen aktualisiert wurde, die die ursprünglichen Schwachstellen behoben haben, und dem Bedrohungsakteur weiterhin Lesezugriff auf Dateien im Dateisystem des Geräts ermöglichen, zu denen möglicherweise auch Konfigurationen gehören. Wichtig ist, dass der Kunde nicht betroffen ist, wenn ssL-VPN nie aktiviert war.
Als Teil einer Untersuchung hat Fortinet Scans durchgeführt, um betroffene Geräte mithilfe interner Telemetrie und in Zusammenarbeit mit Drittorganisationen zu identifizieren. Die Daten zeigen, dass diese Bedrohungsakteur-Aktivität nicht auf eine bestimmte Region oder Branche abzielt.</br>
'''Abhilfe'''<br>
Nach der Entdeckung der neuen Technik, die der Bedrohungsakteur oben beschrieben verwendet hat, hat Fortinet Schritte unternommen, um dieses Problem zu mildern und unterschiedliche Ebenen der Cyber-Hygiene und Herausforderungen, denen der Kunde möglicherweise gegenübersteht, auszubalancieren. Zu den Minderungsmassnahmen von Fortinet gehören:
* Ein AV/IPS-Signatur wurde erstellt, um diesen symbolischen Link auf betroffenen Geräten zu erkennen und zu bereinigen.
* Änderungen wurden in die neuesten Releases aufgenommen, um den symbolischen Link zu erkennen und zu entfernen und sicherzustellen, dass das ssL-VPN nur die erwarteten Dateien bereitstellt.
* Proaktive Kommunikation, die Kunden zum Aktualisieren ihrer Geräte auffordert, sorgfältig ausbalanciert, um gegen weitere unbeabsichtigte Kompromittierungen zu schützen, und gleichzeitig unser Engagement für verantwortungsvolle Transparenz erfüllt.
Speziell zu den in diesem Blog beschriebenen Ergebnissen (April 2025) hat Fortinet mehrere FortiOS-Abhilfemassnahmen veröffentlicht, darunter:
* FortiOS 7.4, 7.2, 7.0, 6.4: Der symbolische Link wurde als bösartig vom AV/IPS-Engine markiert, sodass er automatisch entfernt wird, wenn die Engine lizenziert und aktiviert ist.
* FortiOS 7.6.2, 7.4.7, 7.2.11 & 7.0.17, 6.4.16: Durch das Upgrade auf diese Version wird der bösartige symbolische Link entfernt.
* FortiOS 7.6.2, 7.4.7, 7.2.11 & 7.0.17, 6.4.16: Die ssL-VPN-Benutzeroberfläche wurde modifiziert, um das Bereitstellen solcher bösartigen symbolischen Links zu verhindern.
Fortinet hat direkt mit Kunden kommuniziert, die nach den verfügbaren Telemetriedaten als von diesem Problem betroffen identifiziert wurden, und empfehlen ihnen, folgende Schritte zu unternehmen:
* Alle Geräte auf 7.6.2, 7.4.7, 7.2.11 & 7.0.17 oder 6.4.16 upgraden.
* Die Konfiguration aller Geräte überprüfen.
* Alle Konfigurationen als potenziell kompromittiert betrachten und die empfohlenen Schritte unten befolgen, um sich zu erholen:
* [https://community.fortinet.com/t5/FortiGate/Technical-Tip-Recommended-steps-to-execute-in-case-of-a/ta-p/230694 KB-Artikel Fortinet]
'''Muss ich upgraden?'''<br>
Es ist von entscheidender Bedeutung, dass alle Organisationen ihre Geräte auf dem neuesten Stand halten. Verschiedene Regierungsorganisationen haben berichtet, dass staatlich unterstützte Bedrohungsakteure alle Anbieter, einschliesslich bekannter, aber ungepatchter Schwachstellen, ins Visier nehmen. Im Allgemeinen ist die beste Verteidigung gegen jede bekannte Schwachstelle die Einhaltung guter Cyber-Hygiene-Praktiken, einschliesslich Upgrades.
Der 2H 2023 Global Threat Landscape Report von FortiGuard Labs hat herausgefunden, dass Bedrohungsakteure durchschnittlich 4,76 Tage nach der öffentlichen Bekanntgabe einer neuen Schwachstelle eine bekannte Schwachstelle ausnutzen. In diesem Klima haben sowohl Anbieter als auch Kunden eine Rolle zu spielen. Anbieter müssen robuste Sicherheitsprüfungen in allen Phasen des Produktentwicklungslebenszyklus einführen und sich der verantwortungsvollen Transparenz in ihren Schwachstellenmeldungen widmen. Mit mehr als 40.000 aufgezeichneten Schwachstellen im Jahr 2024 basierend auf Daten von NIST ist es auch von entscheidender Bedeutung, dass Kunden ein strenges Patch-Regime einhalten, um das Risiko einer Ausnutzung zu verringern.
In Bezug auf diesen Vorfall hat Fortinet direkt mit identifizierten betroffenen Kunden kommuniziert, die auf Basis der verfügbaren Telemetrie Massnahmen ergreifen müssen. Fortinet empfiehlt jedoch allen Kunden, unabhängig davon auf eine dieser empfohlenen Versionen zu upgraden.
Fortinet hat auch viele Änderungen integriert, um die Sicherheitsfunktionen weiter zu verbessern, die sich mit den wichtigsten Herausforderungen der Kunden befassen und für Kunden verfügbar sind, die auf die neueste Version aktualisieren, einschliesslich, aber nicht beschränkt auf:
* Zusätzliche Kompilierungszeit-Härtung, um die Angriffsbarriere auf Produkte zu erhöhen.
* Virtuelles Patchen, um Probleme vor der Patch-Verarbeitung zu mildern.
* Implementierung der Firmware-Integritätsvalidierung in Hardware (BIOS).
* Einführung der Integrity Measurement Architecture (IMA) / Filesystem Integrity.
* Automatische Updates, um Geräte nahtlos gegen Schwachstellen zu patchen, ohne dass Administratoren eingreifen müssen.
Fortinet ermutigt Kunden weiterhin, die FortiOS-Best-Practice-Ressourcen zu nutzen, einschliesslich Anleitungen zur Systemhärtung sowie Funktionen, die Kunden helfen, den Aktualisierungsprozess zu automatisieren, wie Uninterrupted Cluster Upgrade, Sub-second failover, Fail-over protection, Auto-restore configs / Configuration revisions und Automatic / Scheduled patch upgrades.


        '''Affected Products:'''
<small>''Quelle: https://www.fortinet.com/blog/psirt-blogs/analysis-of-threat-actor-activity''</small>
        FortiGates running FortiOS 4.3.12 and prior versions, FortiGates running FortiOS 5.0.2 and prior versions
----
<small>add 15.04.2025 - 4Tinu <nowiki>|</nowiki>'' [https://cloud.also.mp/de/de/microsoft-copilot-trainings/ Microsoft Copilot] [[File:copilot-icon.png|20px|link=https://cloud.also.mp/de/de/microsoft-copilot-trainings/]] hat mir geholfen''</small>


        '''Solutions:'''
== Vulnerabilities ==
        Upgrade FortiGates to FortiOS version 4.3.13 or 5.0.3.  
{| class="wikitable" style="width:100%"
|-
| style="width:100px;background-color: #f2f79d;vertical-align:top"| <span style="color:#ffbb98">[[File:vulnerability.svg|100px|link=]]</span>
|
===Was bedeutet "FortiBleed"?===
[[Datei:new.svg|40px|link=]]
----
<big>'''Einleitung:'''</big></br>
FortiBleed beschreibt eine gross angelegte Credential-Exposure- und Exploitation-Kampagne gegen internetexponierte Fortinet FortiGate Firewalls
und SSL-VPN-Gateways. Laut öffentlicher Berichterstattung wurden über 73'000 eindeutige Fortinet-Firewall-URLs in 194 Ländern mit kompromittierten
oder validierten Zugangsdaten in Verbindung gebracht. Die Kampagne zeigt deutlich, dass nicht nur klassische Schwachstellen,
sondern auch wiederverwendete, geleakte oder unzureichend geschützte Zugangsdaten ein kritisches Risiko für Perimeter-Systeme darstellen.


        '''References:'''
<big>'''Ursache:'''</big></br>
        http://packetstormsecurity.com/files/122216/Fortigate-Firewall-Cross-Site-Request-Forgery.html
Die Ursache von FortiBleed liegt nach aktuellem Kenntnisstand nicht in einer bestätigten einzelnen Zero-Day-Schwachstelle oder einem eindeutig
zugeordneten CVE. Vielmehr handelt es sich um eine Kombination aus internetweit erreichbaren Fortinet-Instanzen, historischen Credential-Leaks,
Credential-Stuffing, Brute-Force-Aktivitäten und potenziell bereits kompromittierten Zugangsdaten. Angreifer haben automatisiert nach exponierten
FortiGate- und SSL-VPN-Systemen gesucht und diese gegen grosse Sammlungen bekannter Benutzernamen und Passwörter getestet.
Besonders kritisch ist, dass auch komplexe Passwörter betroffen sein können, wenn sie bereits durch Infostealer-Malware, frühere Datenabflüsse oder
unsichere Wiederverwendung in Klartextdatenbanken vorhanden waren. Die eigentliche Schwachstelle ist daher häufig nicht die Passwortlänge, sondern
die fehlende Kontrolle über die Herkunft, Wiederverwendung und Absicherung von Credentials auf sicherheitskritischen Edge-Systemen.


        '''Was ist eine CSRF (Cross-Site Request Forgery):'''
<big>'''Was bedeutet der „Bleed“ bei FortiBleed?'''</big></br>
        Basically an attacker could but a malicious script somewhere. If the browser used to configure FGT is running that
Der Begriff ''Bleed'' beschreibt in diesem Kontext das fortlaufende Abfliessen von Zugangsdaten und Authentifizierungsinformationen aus
        script while logged-on in FOS GUI in anther windows or tab, the attackers script can control the FGT with the
kompromittierten Umgebungen. Sobald Angreifer Zugriff auf ein Fortinet-Gateway erhalten, kann das System als Beobachtungspunkt an der Netzwerkgrenze
        logged-on users rights in the background. Since this vulnerability can only be exploited in this certain situation,  
missbraucht werden. Darüber lassen sich weitere Anmeldeinformationen aus VPN-, Verwaltungs- oder nachgelagerten Netzwerkverbindungen identifizieren,  
        we suggest to NOT have any other tabs or windows open in the browser used to configure the FGT.
sammeln und erneut für weitere Angriffe verwenden.</br>
Dieser Prozess ist besonders gefährlich, weil er sich selbst verstärken kann: Bereits bekannte Zugangsdaten ermöglichen den ersten Zugriff, der Zugriff
ermöglicht die Sammlung weiterer Credentials, und diese neuen Credentials werden anschliessend wieder für zusätzliche Systeme getestet.
Dadurch entsteht ein automatisierter Kreislauf, der über eine einzelne Firewall hinausgehen und sich bis in interne Verzeichnisdienste wie
Active Directory ausweiten kann.


=== FortiAuthenticator Privilege Escalation Vulnerability 16. ‎Dezember ‎2013 (CVE-2013-6990)? ===
<big>'''Impact'''</big></br>
Der Impact ist hoch, weil FortiGate-Firewalls und SSL-VPN-Gateways typischerweise direkt am Netzwerkperimeter betrieben werden.
Ein erfolgreicher Zugriff kann Angreifern ermöglichen, administrative Schnittstellen zu missbrauchen, VPN-Zugänge zu verwenden,
Traffic zu beobachten, zusätzliche Zugangsdaten zu erbeuten und sich lateral in interne Netzwerke zu bewegen. Besonders kritisch ist dies für
Organisationen mit exponierten Management-Interfaces, fehlender Multi-Faktor-Authentifizierung oder unzureichender Protokollüberwachung.</br>
Ein weiterer Risikofaktor ist die mögliche Persistenz. Selbst wenn ein Passwort später geändert oder eine bekannte Schwachstelle gepatcht wird,
können Angreifer bereits zusätzliche Konten, Tokens, Konfigurationen oder interne Zugangspfade gesammelt haben. Deshalb reicht eine reine
Passwortänderung in vielen Fällen nicht aus. Du musst davon ausgehen, dass ein kompromittierter Perimeter-Zugang eine vollständige
Incident-Response-Prüfung erfordert.</br>
<big>'''Empfohlene Massnahmen'''</big></br>
* Prüfe alle internetexponierten FortiGate- und SSL-VPN-Systeme auf verdächtige Login-Versuche, ungewöhnliche Admin-Aktivitäten und unbekannte VPN-Sessions.
* Erzwinge umgehend eine Rotation aller lokalen, administrativen und VPN-bezogenen Zugangsdaten auf betroffenen oder potenziell exponierten Systemen.
* Aktiviere Multi-Faktor-Authentifizierung konsequent für VPN-Zugänge, Administrator-Konten und privilegierte Benutzer.
* Beschränke Management-Zugriffe auf dedizierte Admin-Netze, vertrauenswürdige IP-Adressen oder sichere Out-of-Band-Zugänge.
* Deaktiviere unnötige öffentliche Verwaltungsoberflächen und stelle sicher, dass nur zwingend benötigte Services aus dem Internet erreichbar sind.
* Aktualisiere FortiOS, FortiGate- und SSL-VPN-Komponenten auf die vom Hersteller empfohlenen Versionen und prüfe zusätzlich alle relevanten Fortinet Security Advisories.
* Analysiere FortiGate-Konfigurationen auf unbekannte Admin-Konten, manipulierte Policies, verdächtige VPN-Profile und unautorisierte Änderungen.
* Überprüfe Active Directory, RADIUS, LDAP und andere angebundene Authentifizierungssysteme auf verdächtige Anmeldeereignisse und laterale Bewegungen.
* Setze Credential-Hygiene durch: keine Passwortwiederverwendung, regelmässige Überprüfung gegen bekannte Leaks und strikte Trennung von Service-, Admin- und Benutzerkonten.
* Führe bei Verdacht auf Kompromittierung eine vollständige Incident-Response-Analyse durch, inklusive Log-Sicherung, forensischer Prüfung und Bewertung möglicher Datenexfiltration.
<big>'''Technische Einschätzung'''</big></br>
FortiBleed sollte nicht als isolierter Produktfehler betrachtet werden, sondern als Warnsignal für den Schutz von Edge-Infrastrukturen.
Du solltest Fortinet-Systeme am Perimeter wie kritische Identitäts- und Zugriffskomponenten behandeln. Entscheidend sind starke Authentifizierung,
eingeschränkte Erreichbarkeit, konsequentes Patching, saubere Credential-Prozesse und ein Monitoring, das nicht nur Schwachstellen,
sondern auch missbräuchliche Nutzung gültiger Zugangsdaten erkennt.
----
<small>add 19.06.2026 - 4Tinu <nowiki>|</nowiki>'' [https://cloud.also.mp/de/de/microsoft-copilot-trainings/ Microsoft Copilot] [[File:copilot-icon.png|20px|link=https://cloud.also.mp/de/de/microsoft-copilot-trainings/]] hat mir geholfen''</small>
|}
----
{| class="wikitable" style="width:100%"
|-
| style="width:100px;background-color: #f2f79d;vertical-align:top"| <span style="color:#ffbb98">[[File:vulnerability.svg|100px|link=]]</span>
|


Am 15. Dezember 2013 hat Fortinet betreffend FortiAuthenticator eine Warnung rausgegeben (CVE-2013-6990) die folgendes umfasst:
===OpenSSL - CVE-2025-15467===
----
<Big>'''Problembeschreibung'''</big></br>
Das Parsen einer CMS AuthEnvelopedData-Nachricht mit absichtlich manipulierten AEAD-Parametern kann einen Stack-Buffer-Overflow auslösen.  
Ein Stack-Buffer-Overflow kann zu einem Absturz führen, was wiederum einen Denial-of-Service (DoS) verursacht oder potenziell sogar eine  
Remotecodeausführung ermöglicht. Beim Parsen von CMS AuthEnvelopedData-Strukturen, die AEAD-Verschlüsselungen wie AES-GCM verwenden,
wird der im ASN.1-Parameter kodierte IV (Initialisierungsvektor) in einen Stack-Puffer fester Grösse kopiert, ohne zu überprüfen, ob dessen Länge in das Ziel passt.
Ein Angreifer kann eine speziell präparierte CMS-Nachricht mit einem zu grossen IV bereitstellen, was zu einem Stack-basierten Schreibzugriff ausserhalb
der vorgesehenen Grenzen führt, noch bevor eine Authentifizierung oder Tag-Prüfung stattfindet. Anwendungen und Dienste, die nicht
vertrauenswürdige CMS* oder PKCS#7-Inhalte mit AEAD-Verschlüsselungen (z. B. S/MIME AuthEnvelopedData mit AES-GCM) verarbeiten, sind gefährdet.
Da der Overflow vor der Authentifizierung auftritt, ist kein gültiges Schlüsselmaterial erforderlich, um ihn auszulösen.
Die Ausnutzbarkeit zur Remotecodeausführung hängt zwar von Plattform* und Toolchain-Schutzmechanismen ab, aber der Stack-basierte Schreibzugriff stellt ein erhebliches Risiko dar.
Die FIPS-Module in den Versionen 3.6, 3.5, 3.4, 3.3 und 3.0 sind von diesem Problem nicht betroffen,
da die CMS-Implementierung ausserhalb des OpenssL-FIPS-Moduls liegt.
* OpenssL 3.6, 3.5, 3.4, 3.3 und 3.0 sind jedoch anfällig für dieses Problem.
* OpenssL 1.1.1 und 1.0.2 sind davon nicht betroffen.
Fortinet PSIRT untersucht derzeit die Auswirkungen dieses CVE auf die Fortinet-Produkte.</br>
betroffen.. </br>
<Big>'''Bedrohungslevel:'''</big>
* Severity : Critical
* Die Bedrohung wird mit einem CVssv3 Score von '''9.8''' eingestuft!
'''Nicht Betroffene Systeme (Stand 25.03.2026)'''
* FortiAP
* FortiWeb
* FortiVoice
* FortiTester
* FortiSwitch
* FortiSandbox
* FortiSOAR
* FortiSIEM
* FortiRecorder
* FortiPortal
* FortiOS
* FortiNAC-F
* FortiNAC
* FortiManager
* FortiMail
* FortiExtender
* FortiDDoS
* FortiConverter
* FortiCloud
* FortiClient Windows
* FortiClient MacOS
* FortiClient Linux
* FortiAuthenticator
* FortiAnalyzer
* FortiAP-W2
* FortiAP-U  
* FortiClient iOS
* FortiClient Android
* FortiClient EMS
* FortiWebManager
* FortiADC
* FortiADC Manager
* FortiProxy
----
'''Weitere Informationen findet man unter folgenden externen Artikeln:'''<br>
<small>
PSIRT FortiGuard:
* https://fortiguard.fortinet.com/psirt/FG-IR-26-076 <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small>
CVE Informationen 
* https://www.cve.org/CVERecord?id=CVE-2025-15467<small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small>
Weitere Referenzen:
* https://www.openwall.com/lists/oss-security/2026/01/27/10 <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small>
* https://nvd.nist.gov/vuln/detail/CVE-2025-15467 <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small>
</small>
----
<small>edit 25.03.2026 * 4Tinu</small>
|}
----
{| class="wikitable" style="width:100%"
|-
| style="width:100px;background-color: #f2f79d;vertical-align:top"| <span style="color:#ffbb98">[[File:vulnerability.svg|100px|link=]]</span>
|


        '''Impact:'''
===Administrative FortiCloud SSO authentication bypass - FG-IR-26-060===
        Authentifizierte Admin User ist es möglich Zugriff auf die Shell des Systems zu erlangen! Dadurch können diese Admin
[[Datei:new.svg|40px|link=]]
        User System Kommandos ausführen, Zugriff auf das Filesystem erlangen und das im vollen Umfang (read/write).
----
<Big>'''Problembeschreibung'''</big></br>
Eine Schwachstelle vom Typ „Authentication Bypass Using an Alternate Path or Channel“ [CWE-288] in FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb kann es einem Angreifer mit einem
FortiCloud-Konto und einem registrierten Gerät ermöglichen, sich an anderen Geräten anzumelden, die bei anderen Konten registriert sind,
sofern auf diesen Geräten die FortiCloud SSO-Authentifizierung aktiviert ist.


        '''Affected Products:'''
Bitte beachte, dass die FortiCloud SSO-Anmeldefunktion in den Werkseinstellungen standardmässig deaktiviert ist.
        FortiAuthenticator 1.x and 2.x
Wenn Du jedoch das Gerät über die Geräteeinstellungen bei FortiCare registrierst, wird FortiCloud SSO für die Anmeldung aktiviert,
sofern Du beim Registrierungsprozess die Option <code>Allow administrative login using FortiCloud SSO</code> nicht deaktivierst.


        '''Solutions:'''
Diese Schwachstelle wurde bereits aktiv ausgenutzt: </br>
        Upgrade auf den FortiAuthenticator 3.0 empfohlen.
* Zwei böswillige FortiCloud-Konten wurden dabei am 22.01.2026 gesperrt.
       
* Um weiteren Missbrauch zu verhindern, hat Fortinet am 26.01.2026 die FortiCloud SSO-Funktion serverseitig deaktiviert.
        '''NOTE''' Bei solch einem Upgrade ist folgendes zu berücksichtigen:
* Am 27.01.2026 wurde sie wieder aktiviert, unterstützt jedoch keine Anmeldungen mehr von Geräten mit verwundbaren Versionen.
       
Du musst daher auf die unten aufgeführten neuesten Versionen aktualisieren, damit FortiCloud SSO weiterhin genutzt werden kann.
        [[FortiAuthenticator:FAQ#Upgrade]]
* FortiManager Cloud, FortiAnalyzer Cloud und FortiGate Cloud sind nicht betroffen.
* Setups mit einem eigenen IdP für SSO statt FortiCloud sind '''nicht betroffen''' (einschliesslich Setups mit FortiAuthenticator als Custom IdP).


=== FortiWeb Stored Cross-Site Scripting Vulnerability 17. ‎Januar ‎2014 (CVE-2014-1458)? ===
<Big>'''Bedrohungslevel:'''</big>
* Severity : Critical
* Die Bedrohung wird mit einem CVSSv3 Score von '''9.4''' eingestuft!
<Big>'''Betroffene Systeme:'''</big>


Einem authentifizierten Administratoren ist es möglich ein "Java Injected Script" in ein spezifisches Feld auf dem Mgmt. Web Interface von Fortiweb zu speichern. Dieses "Java Injected Script" kann durch einen anderen Administrator über das spezifische Feld eingesehen werden.
'''FortiAnalyzer'''
* FortiAnalyzer 7.6 : 7.6.0 - 7.6.5
* FortiAnalyzer 7.4 : 7.4.0 - 7.4.9
* FortiAnalyzer 7.2 : 7.2.0 - 7.2.11
* FortiAnalyzer 7.0 : 7.0.0 - 7.0.15
* FortiAnalyzer 6.4 : 6.4.x ist nicht betroffen


        '''Affected Products:'''
'''FortiManager'''
        FortiWeb 5.0.3 oder früher.
* FortiManager 7.6 : 7.6.0 - 7.6.5
* FortiManager 7.4 : 7.4.0 - 7.4.9
* FortiManager 7.2 : 7.2.0 - 7.2.11
* FortiManager 7.0 : 7.0.0 - 7.0.15
* FortiManager 6.4 : 6.4.x ist nicht betroffen


        '''Solutions:'''
'''FortiGate:'''
        Upgrade auf FortiOS 5.0.4.
* FortiOS 8.0 : 8.0.x ist nicht betroffen
* FortiOS 7.6 : 7.6.0 - 7.6.5
* FortiOS 7.4 : 7.4.0 - 7.4.10
* FortiOS 7.2 : 7.2.0 - 7.2.12
* FortiOS 7.0 : 7.0.0 - 7.0.18
* FortiOS 6.4 : 6.4.x ist nicht betroffen


        '''Refrences:'''
'''FortiProxy:'''
        http://www.fortiguard.com/advisory/FG-IR-14-001/
* FortiProxy 7.6 : 7.6.0 - 7.6.4
* FortiProxy 7.4 : 7.4.0 - 7.4.12
* FortiProxy 7.2 : 7.2.x Alle Versionen
* FortiProxy 7.0 : 7.0.x Alle Versionen


=== FortiGate Cross-Site Scripting Vulnerability ‎3. ‎Februar ‎2014 (CVE-2013-7182)? ===
'''FortiWeb:'''
* FortiWeb 8.0 : 8.0.0 - 8.0.3
* FortiWeb 7.6 : 7.6.0 - 7.6.6
* FortiWeb 7.4 : 7.4.0 - 7.6.6
* FortiWeb 7.2 : 7.2.x ist nicht betroffen
* FortiWeb 7.0 : 7.0.x ist nicht betroffen


FortiOS 5.0.5 und frühere Versionen enthalten ein "cross-site-scripting Vulnerability! Betroffen davon ist ein "mkey" Paramenter in der folgenden URL:
'''FortiSwitch Manager:'''
* Dieses Produkt wird noch untersucht ob es auch betroffen ist.
<Big>'''Lösung:'''</big></br>
Auf folgende Versionen upgraden, damit die Sicherheitslücke geschlossen wird.


        /firewall/schedule/recurrdlg
'''FortiAnalyzer'''
* FortiAnalyzer 7.6 : upgraden auf 7.6.6 <small>Version bald verfügbar - Stand 29.01.2026</small>
* FortiAnalyzer 7.4 : upgraden auf 7.4.10 oder höher
* FortiAnalyzer 7.2 : upgraden auf 7.2.12 <small>Version bald verfügbar - Stand 29.01.2026</small>
* FortiAnalyzer 7.0 : upgraden auf 7.0.16 <small>Version bald verfügbar - Stand 29.01.2026</small>


        '''Impact:'''
'''FortiManager'''
        Durch diesen Vulnerability ist es möglich, dass ein unauthentifizierter Angreifer über diese URL und über den Browser des Endusers ein beliebiges Script zur Ausführung bringen kann.
* FortiManager 7.6 : upgraden auf 7.6.6 <small>Version bald verfügbar - Stand 29.01.2026</small>
* FortiManager 7.4 : upgraden auf 7.4.10 oder höher
* FortiManager 7.2 : upgraden auf 7.2.13 <small>Version bald verfügbar - Stand 29.01.2026</small>
* FortiManager 7.0 : upgraden auf 7.0.16 <small>Version bald verfügbar - Stand 29.01.2026</small>


        '''Affected Products:'''
'''FortiGate:'''
        FortiOS 5.0.5 oder früher.
* FortiOS 7.6 : upgraden auf [[:Datei:FortiOS-Release-Notes-Version-7.6.6.pdf|7.6.6]] oder höher
* FortiOS 7.4 : upgraden auf [[:Datei:FortiOS-Release-Notes-Version-7.4.11.pdf|7.4.11]] oder höher
* FortiOS 7.2 : upgraden auf [[:Datei:FortiOS-Release-Notes-Version-7.2.13.pdf|7.2.13]] oder höher
* FortiOS 7.0 : upgraden auf <small>Version bald verfügbar - Stand 30.01.2026</small>


        '''Solutions:'''
'''FortiProxy:'''
        Upgrade auf FortiOS 5.0.6.
* FortiProxy 7.6 : upgraden auf 7.6.6 <small>Version bald verfügbar - Stand 29.01.2026</small>
       
* FortiProxy 7.4 : upgraden auf 7.4.13 <small>Version bald verfügbar - Stand 29.01.2026</small>
        '''NOTE''' Bei einem Upgrade von einer früheren Version von FortiOS auf 5.0.6 ist der Upgrade Path
* FortiProxy 7.2 : upgraden auf 7.2.x migrieren auf eine Supportete Version (7.6.6 oder 7.4.13)
            einzuhalten. Weitere Informationen dazu siehe folgendes Dokument:
* FortiProxy 7.0 : upgraden auf 7.0.x migrieren auf eine Supportete Version (7.6.6 oder 7.4.13)
           
            [[Datei:FortiOS-Upgradepath.pdf]] (FortiOS 5 Upgrade Matrix)


        '''Refrences:'''
'''FortiWeb:'''
        http://www.fortiguard.com/advisory/FG-IR-14-003/
* FortiWeb 8.0 : upgraden auf 8.0.4 <small>Version bald verfügbar - Stand 29.01.2026</small>
* FortiWeb 7.6 : upgraden auf 7.6.7 <small>Version bald verfügbar - Stand 29.01.2026</small>
* FortiWeb 7.4 : upgraden auf 7.4.12 <small>Version bald verfügbar - Stand 29.01.2026</small>


=== FortiWeb Cross-Site Scripting Vulnerability  ‎3. ‎Februar ‎2014 (CVE-2013-7181)? ===
<Big>'''Weitere Massnahmen und Workaround:'''</big>


Fortiweb 5.0.3 und frühere Versionen enthalten ein "cross-site-scripting Vulnerability! Betroffen davon ist ein "filter" Paramenter in der folgenden URL:
Die FortiCloud SSO-Authentifizierung unterstützt keine Anmeldungen mehr von Geräten mit verwundbaren Versionen.</br>
Daher ist es derzeit nicht notwendig, die FortiCloud SSO-Anmeldung auf der Client-Seite zu deaktivieren. </br>
Zur Referenz kann dies dennoch wie folgt durchgeführt werden:


        /user/ldap_user/add
Bei FortiOS und FortiProxy:
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
Zum Deaktivieren der FortiCloud-Login-Funktion navigierst Du zu:


        '''Impact:'''
<code> System </code>&rarr;<code> Settings </code>&rarr;<code>Allow administrative login using FortiCloud SSO</code> Option deaktivieren.
        Durch diesen Vulnerability ist es möglich, dass ein unauthentifizierter Angreifer über diese URL und über den Browser des Endusers ein beliebiges Script zur Ausführung bringen kann.
[[Datei:Fortinet-3546.jpg|550px|link=]]
|}


        '''Affected Products:'''
{| class="wikitable" style="width:850px"
        FortiWeb 5.0.3 oder früher.
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre style="background-color:#252269;color: #FFFFFF">
config system global
set admin-forticloud-sso-login disable
end
</pre>
|}
Beim FortiManager oder FortiAnalyzer:
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
Zum Deaktivieren der FortiCloud-Login-Funktion navigierst Du zu:
 
<code> System Settings </code>&rarr;<code> SAML SSO </code>&rarr;<code>Allow admins to login with FortiCloud</code> Option deaktivieren.
[[Datei:Fortinet-3550.jpg|550px|link=]]
|}
 
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre style="background-color:#252269;color: #FFFFFF">
config system saml
set forticloud-sso disable
end
</pre>
|}
 
<big>'''Idicators of Compromise'''</big></br>
'''SSO-Login-Benutzerkonten:'''
 
Der Angreifer wurde dabei beobachtet, sich mit den folgenden Benutzerkonten anzumelden:
* cloud-noc@mail.io
* cloud-init@mail.io
 
Fortinet geht davon aus, dass sich diese Adressen in Zukunft ändern könnten, da Massnahmen ergriffen wurden, um diese Konten zu neutralisieren.</br>
'''IP-Adressen''':
 
Der Angreifer wurde beobachtet, wie er sich über mehrere IP-Adressen angemeldet hat und offenbar auf durch Cloudflare geschützte IPs gewechselt ist:
* 104.28.244.115
* 104.28.212.114
* 104.28.212.115
* 104.28.195.105
* 104.28.195.106
* 104.28.227.106
* 104.28.227.105
* 104.28.244.114
 
Adressen die nicht von Fortinet sondern von Drittpersonen beobachtet wurden:
* 37[.]1.209.19
* 217[.]119.139.50
 
'''Bösartige Erstellung lokaler Konten:'''
 
Nach der Authentifizierung via SSO wurde beobachtet, dass der Angreifer ein lokales Administratorkonto mit einem der folgenden Namen erstellt. <br>
Diese Namen haben sich im Verlauf der Analyse geändert. Daher empfiehlt Fortinet, alle Administratorkonten zu überprüfen, um unerwartete Einträge zu identifizieren:
* audit
* backup
* itadmin
* secadmin
* support
* backupadmin
* deploy
* itadmin
* remoteadmin
* security
* svcadmin
* system
{| class="wikitable" style="width:850px"
|-
| style="width:50px;background-color: #89e872;"| <span>[[File:hinweis.svg|50px|link=]]</span>
| style="background-color: #c4f3b8"|
In diesem Wiki Artikel wird erklärt, wie man eine Email bekommt, wenn eine Konfigurationsänderung vorgenommen wird.
* [[FortiGate:FAQ#Wie_richte_ich_einen_Automation_Stitch_f%C3%BCr_Konfigurations-%C3%84nderungen_ein?|Wie richte ich einen Automation Stitch für Konfigurations-Änderungen ein?]] <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small>
|}
'''Hauptoperationen des Angreifers:'''
* Herunterladen der Kunden-Konfigurationsdatei
* Hinzufügen eines Administratorkontos zur Erhaltung des Zugriffs (Persistenz)
----
'''Weitere Informationen findet man unter folgenden externen Artikeln:'''<br>
<small>
PSIRT - FortiGuard:
* https://www.fortiguard.com/psirt/FG-IR-26-060 <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small>
* https://www.fortinet.com/blog/psirt-blogs/analysis-of-sso-abuse-on-fortios <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small>
CVE Informationen 
* https://www.cve.org/CVERecord?id=CVE-2026-24858<small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small>
Heise.de:
* https://www.heise.de/news/Fortinet-kaempft-weiter-gegen-laufende-SSO-Admin-Attacken-11156437.html<small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small>
</small>
----
<small>edit 30.01.2026 - 4Tinu</small>
|}
----
{| class="wikitable" style="width:100%"
|-
| style="width:100px;background-color: #f2f79d;vertical-align:top"| <span style="color:#ffbb98">[[File:vulnerability.svg|100px|link=]]</span>
|
 
===Heap-based buffer overflow in cw_acd daemon - FG-IR-25-084===
----
<Big>'''Problembeschreibung'''</big>
Eine heap-basierte Pufferüberlauf-Schwachstelle [CWE-122] in FortiOS und FortiSwitchManager cw_acd Daemon kann es einem remoten,
nicht authentifizierten Angreifer ermöglichen, beliebigen Code oder Befehle über speziell erstellte Anfragen auszuführen.
 
Das Vorhandensein von Sicherheitskontrollen wie ASLR und PIE erhöht die Komplexität und den Vorbereitungsaufwand für die Ausnutzung erheblich.
 
<Big>'''Bedrohungslevel:'''</big>
* Severity : High
* Die Bedrohung wird mit einem CVSSv3 Score von '''7.4''' eingestuft!
<Big>'''Betroffene Systeme:'''</big>
 
'''FortiGate:'''
* FortiOS 7.6.0 - 7.6.3
* FortiOS 7.4.0 - 7.4.8
* FortiOS 7.2.0 - 7.2.11
* FortiOS 7.0.0 - 7.0.17
* FortiOS 6.4.0 - 6.4.16
'''FortiSwitchManager:'''/<br>
* FortiSwitchManager 7.2.0 bis 7.2.6
* FortiSwitchManager 7.0.0 bis 7.0.5
 
<Big>'''Lösung:'''</big></br>
Auf folgende Versionen upgraden, damit die Sicherheitslücke geschlossen wird.
 
'''FortiGate:'''
* FortiOS 7.6.4 oder höher
* FortiOS 7.4.9 oder höher
* FortiOS 7.2.12 oder höher
* FortiOS 7.0.18 oder höher
* FortiOS 6.4.17 (wird folgen)
'''FortiSwitchManager:'''/<br>
* FortiSwitchManager 7.2.7 oder höher
* FortiSwitchManager 7.0.6 oder höher
<Big>'''Weitere Massnahmen und Workaround:'''</big>
Bei jedem Interface den <code>fabric</code> Zugriff entfehrnen.
 
Beispiel Konfiguration:
 
Ausgangslage:
<pre>
config system interface
edit "port1"
set allowaccess fabric ssh https
next
end
</pre>
ändern zu:
<pre>
config system interface
edit "port1"
set allowaccess ssh https
next
end
</pre>


        '''Solutions:'''
eine Weitere Massnahme ist es den zum CAPWAP Daemon verweigern.
        Upgrade auf FortiOS 5.1.0.


        '''Refrences:'''
Für jedes interface mit dem <code>fabric</code> service, mit einer Localin Policy die CAPWAP-CONTROL Ports (udp 5246 - 5249) blockieren.
        http://www.fortiguard.com/advisory/FG-IR-14-002/


=== Fortinet "Heartbleed" OpenSSL Remote Memory Disclosure Vulnerability 8. April 2014 (CVE-2014-0160)? ===
Beispiel:
<pre>
config firewall service custom
edit "CAPWAP-CONTROL"
set udp-portrange 5246-5249
next
end
config firewall addrgrp
edit "CAPWAP_DEVICES_IPs"
set member "my_allowed_addresses" <-- IP adressen welche erlaubt sind
end
config firewall local-in-policy
edit 1 <-- Regel welche den Zugriff erlaubt.
set intf "port1" <-- Interfaces bei welchem fabric aktiviert ist
set srcaddr "CAPWAP_DEVICES_IPs"
set dstaddr "all"
set service "CAPWAP-CONTROL"
set schedule "always"
set action accept
next
edit 2 <-- Regel welche alle anderen Interfaces blockiert mit dem
set intf "any"
set srcaddr "all'
set dstaddr "all"
set service "CAPWAP-CONTROL"
set schedule "always"
set action deny
next
end
</pre>


In der OpenSSL Version 1.0.1 wurde ein gravierender Bug gefunden der als "Hearbleed" bekannt ist. Wir empfehlen Ihnen die nachfolgenden Informationen gut durchzulesen und die nötigen Schritte zu veranlassen:
----
'''Weitere Informationen findet man unter folgenden externen Artikeln:'''<br>
<small>
PSIRT - FortiGuard:
* https://www.fortiguard.com/psirt/FG-IR-25-084 <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small>
CVE Informationen 
* https://www.cvedetails.com/cve/CVE-2025-25249/<small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small>
</small>
----
<small>add 21.01.2026 - 4Tinu</small>
|}
----
{| class="wikitable" style="width:100%"
|-
| style="width:100px;background-color: #f2f79d;vertical-align:top"| <span style="color:#ffbb98">[[File:vulnerability.svg|100px|link=]]</span>
|


        '''Impact:'''
===Multiple Fortinet Products FortiCloud SSO Login Authentication Bypass - CVE-2025-59718 und CVE-2025-59719===
        Beim "Heartbleed" Bug handelt es sich um einen "gravierenden" Bug in der populären "OpenSSL" cryptographic Software dh. viele Hersteller benützen
[[Datei:new.svg|40px|link=]]
        diese Software resp. Library um Verschlüsselungs Methoden für zB SSL-VPN Portal zur Verfügung zu stellen. Dabei ist zu beachten das die OpenSSL
----
        Version 0.9.8 nicht von diesem Bug betroffen ist sondern die Version 1.0.1f und tiefer. Dieser Bug erlaubt unter "normalen" Umständen über SSL/TLS
<Big>'''Problembeschreibung'''</big>
        geschützte Informationen von zB WebServer, MailServer oder VPN's auszulesen (Memory). Dieser "Heartbleed" Bug erlaubt es über normalen Zugriff zB
        auf den WebServer das Memory auszulesen obwohl die Informationen über die OpenSSL Software geschützt wird. Über einen "Heartbleed" tauschen
        Kommunikationspartner Statusinformationen aus, vor allem um festzustellen, ob das Gegenüber noch aktiv ist. Durch eine fehlende Überprüfung
        eines Speicherzugriffs kann ein Angreifer dabei bis zu 64 KByte der Gegenstelle auslesen (Memory). Somit wird der Zugriff ermöglicht auf die
        "secret keys" (private) die wiederum benutzt werden um die Informationen zu Verschlüsseln. Dies wiederum ermöglicht die Informationen durch
        diese "secret keys" zu entschlüsseln und so an geschützte Informationen zu gelangen wie Passwörter etc. und somit können diese vom Server
        entwendet werden. Tests haben gezeigt, dass durch diesen Angriff "secret keys" entwendet werden können und dadurch an geschützte Informationen
        zu kommen die unter normalen Umständen durch diese "secret keys" geschützt werden.


        '''Affected Products:'''
Eine Schwachstelle aufgrund unzureichender Verifizierung kryptographischer Signaturen (CWE-347) in FortiOS, FortiWeb, FortiProxy und FortiSwitchManager
        OpenSSL 1.0.1, 1.0.1:beta1/2/3 1.0.1a 1.0.1b 1.0.1c 1.0.1d 1.0.1e 1.0.1f (0.9.8x as 1.0.0x not affected)
kann es einem nicht authentifizierten Angreifer ermöglichen, die FortiCloud-SSO-Login-Authentifizierung durch eine manipulierte SAML-Nachricht zu umgehen,  
        FortiGate (FortiOS) 5.0.0 bis 5.0.6
sofern diese Funktion auf Deinem Gerät aktiviert ist.
        FortiClient 5.x
        FortiAuthenticator 3.x
        FortiMail 4.3.x and 5.x
        FortiVoice models 200D, 200D-T und VM
        FortiRecorder
        FortiADC D-Series models 1500D, 2000D und 4000D
        FortiADC E-Series 3.x
        Coyote Point Equalizer GX / LX 10.x
        FortiDDoS 4.x
        FortiDNS
        AscenLink v6.5 and 7.0


        '''References:'''
<Big>'''Bedrohungslevel:'''</big>
        http://heartbleed.com/
* Severity : Critical
        http://www.fortiguard.com/advisory/FG-IR-14-011/
* Die Bedrohung wird mit einem CVSSv3 Score von '''9.1''' eingestuft!
        http://www.us-cert.gov/ncas/alerts/TA14-098A 
<Big>'''Betroffene Systeme:'''</big>


        '''Solutions:'''
'''FortiGate:'''
        Fortinet wird für FortiGate's am 9. April 2014 01:00 eine neue FirmWare/Image zur Verfügung stellen!
* FortiOS 7.6.0 - 7.6.4
        Für FortiAuthenticator sowie FortiMail wird eine neue Firmware/Image am 11. April 2014 released.  
* FortiOS 7.4.0 - 7.4.8
* FortiOS 7.2.0 - 7.2.11
* FortiOS 7.0.0 - 7.0.17
* FortiOS 6.4.x ist nicht betroffen
'''FortiProxy:'''</br>
* FortiProxy 7.6.0 bis 7.6.3
* FortiProxy 7.4.0 bis 7.4.10
* FortiProxy 7.2.0 bis 7.2.14
* FortiProxy 7.0.0 bis 7.0.21
'''FortiWeb:'''</br>
* FortiWeb 8.0.0
* FortiWeb 7.6.0 bis 7.6.4
* FortiWeb 7.4.0 bis 7.4.9
* FortiWeb 7.2.x ist nicht betroffen
* FortiWeb 7.0.x ist nicht betroffen
'''FortiSwitchManager:'''/<br>
* FortiSwitchManager 7.2.0 bis 7.2.6
* FortiSwitchManager 7.0.0 bis 7.0.5


        '''Workarounds:'''
<Big>'''Lösung:'''</big></br>
        Die betroffenen MailServer, WebServer etc. können über die IPS (Intrusion Prevention System) geschützt werden und zwar über eine
Auf folgende Versionen upgraden, damit die Sicherheitslücke geschlossen wird.
        Custom Signature die folgendermassen aussieht:
       
        '''NOTE''' Die IPS Signature muss nicht mehr manuell erstellt werden, da diese mit der IPS Signaure Release Update 4.476 nun
            auf der FortiGate zur Verfügung steht. Dies ist jedoch nur der Fall wenn der Device über einen aktiven FortiGuard
            Maitenance Vertrag verfügt. Die IPS Signature in diesem besagten Update mit folgenden Namen zur Verfügung:
           
            "OpenSSL.TLS.Heartbeat.Information.Disclosure"
       
        # config ips custom
        # edit "OpenSSL.TLS.Heartbeat.Information.Disclosure-custom.All"
        # set action block
        # set comment ''
        # set signature "F-SBID( --attack_id 4982 \
        # --name \"OpenSSL.TLS.Heartbeat.Information.Disclosure-custom.All\"; \
        # --protocol tcp; --src_port 443; --flow from_server,reversed; \
        # --pattern \"|18 03|\"; --context packet; --within 2,context; \
        # --byte_test 2,>,100,1,relative;  )"
        # next
        # end
       
        Diese Custome Signature muss nachträglich im entsprechenden IPS Profile eingebunden werden:
       
        # config ips sensor
        # edit "ssl.heartbleed"
        # config entries
        # edit 1
        # set action reset
        # set rule 4982
        # set status enable
        # next
        # end
        # next
        # end
       
        Danach muss der entsprechenden IPS Sensor zur entsprechenden Policy hinzugefügt werden:
       
        # config firewall interface-policy
        # edit 0
        # set interface "wan1"
        # set srcaddr "all"
        # set dstaddr "all"
        # set service "HTTPS"
        # set ips-sensor-status enable
        # set ips-sensor "ssl.heartbleed"
        # next
        # end


        '''Hinweis:'''
'''FortiGate:'''
        Es muss berücksichtigt werden, dass auf einem WebServer, MailServer usw. bereits ein "Heartbleed" durchgeführt wurde und somit
* FortiOS 7.6.4 oder höher
        die "secret key" Informationen ausgelesen wurden. In so einem Fall muss nach dem "Patchen" des System das "Private Certificate"
* FortiOS 7.4.9 oder höher
        erneuert werden und event. darauf basierenden "Public Certificates" neu verteilt werden.
* FortiOS 7.2.12 oder höher
* FortiOS 7.0.18 oder höher
'''FortiProxy:'''</br>
* FortiProxy 7.6.4 oder höher
* FortiProxy 7.4.11 oder höher
* FortiProxy 7.2.15 oder höher
* FortiProxy 7.0.22 oder höher
'''FortiWeb:'''</br>
* FortiWeb 8.0.1 oder höher
* FortiWeb 7.6.5 oder höher
* FortiWeb 7.4.10 oder höher
'''FortiSwitchManager:'''/<br>
* FortiSwitchManager 7.2.7 oder höher
* FortiSwitchManager 7.0.6 oder höher


Offizielle Informationen betreffend diesem Cert findet man im offiziellen Customer Support Bulleting der Fortinet:
<Big>'''Weitere Massnahmen und Workaround:'''</big>


        [[Fortinet:Support-Alerts#Fortinet_Information_Disclosure_Vulnerability_in_OpenSSL.3F]]
Um zu verhindern, dass betroffene Versionen durch diese Schwachstelle ausgenutzt werden, solltest Du die FortiCloud-Login-Funktion (falls aktiviert) vorübergehend deaktivieren,
bis ein Upgrade auf eine nicht betroffene Version durchgeführt wurde.


=== Fortinet Multiple Vulnerabilities in OpenSSL Vulnerability 6 June 2014 (CVE-2014-0224, CVE-2014-0221, CVE-2014-0195)? ===
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-  
|
Zum Deaktivieren der FortiCloud-Login-Funktion navigierst Du zu:


Die OpenSSL Verantwortlichen haben folgenden Advisory herausgegeben die folgende Vulnerability beschreiben:
<code> System </code>&rarr;<code> Settings </code>&rarr;<code>Allow administrative login using FortiCloud SSO</code> Option deaktivieren.
[[Datei:Fortinet-3546.jpg|550px|link=]]
|}


        https://www.openssl.org/news/secadv_20140605.txt
{| class="wikitable" style="width:850px"
       
|- style="background:#89E871"
        SSL/TLS MITM vulnerability (CVE-2014-0224)
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
        DTLS recursion flaw (CVE-2014-0221)
|-
        DTLS invalid fragment vulnerability (CVE-2014-0195)
|
        SSL_MODE_RELEASE_BUFFERS session injection or denial of service (CVE-2010-5298)
<pre style="background-color:#252269;color: #FFFFFF">
        Anonymous ECDH denial of service (CVE-2014-3470)
config system global
set admin-forticloud-sso-login disable
end
</pre>
|}


        '''Impact'''
* https://community.fortinet.com/t5/FortiGate/Technical-Tip-Understanding-the-FortiOS-critical-vulnerability/ta-p/426944
        CVE-2014-0224 Erlaubt einem Angreifer in einem Network anhand einer "man-in-the-middle" Attacke die SSL Komunikation zu entschlüsseln.
        CVE-2014-0221 Erlaubt es einem Angreifer einem DTLS Client anhand eines falschen "handshakes" ein "crash" auszulösen.
        CVE-2014-0195 Erlaubt eine "buffer overrun attack" wenn falsche DTLS fragmente zu einem DTLS Client oder Server gesendet werden
        CVE-2014-0198 und CVE-2010-5298 Erlaubt eine "denial of service" Attacke unter bestimmten Umständen dh. wenn "SSL_MODE_RELEASE_BUFFERS" aktiviert ist.
        CVE-2014-3470 Erlaubt einem Angreifer einen "denial of service" Attacke zu "trigger" (in SSL Clients) wenn "anonymous ECDH ciphersuites" aktiviert ist.
        CVE-2014-0076 Kann genutzt werden um "ECDSA nonces on multi-user systems" herauszufinden indem "timing attacks in CPU L3 caches" ausgeführt werden.
       
        '''NOTE''' Von "CVE-2014-3470 und CVE-2014-0076" sind die Fortinet Produkte nicht betroffen


        '''Affected Products'''
{| class="wikitable" style="width:850px"
        FortiOS, FortiClient, FortiSwitch, FortiAnalyzer, FortiManager, FortiMail, FortiAP, FortiVoiceOS,
|-
        FortiWeb, FortiAuthenticator, FortiDNS, FortiDDoS, FortiCache, FortiRecorder, FortiSandbox,
| style="width:50px;background-color: #FF7730;"| <span>[[File:wichtig.svg|50px|link=]]</span>
        FortiADC, FortiADC-E, Equalizer LX/GX, AscenLink
| style="background-color: #FFB991"|
Beachte, die FortiCloud-SSO-Login-Funktion ist per Default deaktiviert. Registrierst Du jedoch ein Gerät über die GUI bei FortiCare, wird FortiCloud SSO nach der Registrierung '''automatisch aktiviert'''.
|}
----
'''Weitere Informationen findet man unter folgenden externen Artikeln:'''<br>
<small>
PSIRT - FortiGuard:
* https://fortiguard.fortinet.com/psirt/FG-IR-25-647 <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small>
CVE Informationen 
* https://www.cve.org/CVERecord?id=CVE-2025-59718 <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small>
* https://www.cve.org/CVERecord?id=CVE-2025-59719 <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small>
NIST:
* https://nvd.nist.gov/vuln/detail/CVE-2025-59718 <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small>
* https://nvd.nist.gov/vuln/detail/CVE-2025-59719 <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small>
</small>
----
<small>add 10.12.2025 - 4Tinu</small>
|}
----


        '''Risk'''
{| class="wikitable" style="width:100%"
        - FortiOS 4.x und 5.x sind betroffen bei CVE-2014-0224 und CVE-2014-0195 (betreffend CAPWAP Service).
|-  
        - Zusätzlich in FortiOS 5.x SSL VPN und HTTPS Administration sind betroffen betreffend CVE-2014-0198 und CVE-2010-5298.
| style="width:100px;background-color: #f2f79d;vertical-align:top"| <span style="color:#ffbb98">[[File:vulnerability.svg|100px|link=]]</span>
        - FortiAP's sind betroffen bei CVE-2014-0224, CVE-2014-0221 und CVE-2014-0195.
|
        - Alle anderen Produkte die unter "Affected Products" aufgeführt sind, sind durch CVE-2014-0224 betroffen.


        '''Workarounds:'''
===FortiWeb - Path confusion vulnerability in GUI - CVE-2025-64446===
        FortiGuard hat eine IPS Signature "released" unter dem Namen "OpenSSL.ChangeCipherSpec.Injection" welche einen Schutz gegen CVE-2014-0224 bietet.
----
        Auf FortiGate's auf denen keine FortiAP's benützt resp. über CAPWAP verwaltet werden sollte das CAPWAP Protokoll komplett deaktiviert werden um
<big>'''Problembeschreibung:'''</big><br>
        dem Vulnerability CVE-2014-0195 entgegenzutreten. Wenn keine FortiAP's benützt/verwaltet werden, kann der Wireless Controller der über CAPWAP die
Eine Schwachstelle zur Pfadmanipulation durch relative Pfadangaben (CWE-23) in FortiWeb kann einem nicht authentifizierten
        FortiAP's verwaltet komplett deaktiviert werden:
Angreifer ermöglichen, administrative Befehle auf dem System auszuführen,
       
indem er speziell präparierte HTTP- oder HTTPS-Anfragen sendet.
        # config system global
        # set wireless-controller [enable / disable]
        # end


        '''Firmware Updates'''
<big>'''Bedrohungslevel:'''</big><br>
        Fortinet setzt alles daran Software Fixes gegen diese Vulnerabilities so schnell wie möglich zu releasen!
* Severity '''Critical'''
* Die Bedrohung wird mit einem CVSSv3 Score von '''9.4''' eingestuft!
<big>'''Betroffene Systeme:'''</big><br>
* FortiWeb 8.0 OS Version '''8.0.0 bis 8.0.1'''
* FortiWeb 7.6 OS Version '''7.6.0 bis 7.6.4'''
* FortiWeb 7.4 OS Version '''7.4.0 bis 7.4.9'''
* FortiWeb 7.2 OS Version '''7.2.0 bis 7.2.11'''
* FortiWeb 7.0 OS Version '''7.0.0 bis 7.0.11'''
Wenn das HTTP/HTTPS-Managementinterface gemäss Best Practices nur intern zugänglich ist, ist das Risiko einer Kompromittierung deutlich reduziert.


Nachfolgend der offizielle Link zur Fortinet Vulnerability Advisory:
<big>'''Lösung:'''</big></br>
Auf folgende Versionen kann upgedatet werden, damit diese Sicherheitslücke geschlossen wird:
* FortiWeb 8.0 upgraden auf '''8.0.2''' oder höher
* FortiWeb 7.6 upgraden auf '''7.6.5''' oder höher
* FortiWeb 7.4 upgraden auf '''7.4.10''' oder höher
* FortiWeb 7.2 upgraden auf '''7.2.12''' oder höher
* FortiWeb 7.0 upgraden auf '''7.0.12''' oder höher


        http://www.fortiguard.com/advisory/FG-IR-14-018/
<big>'''Weitere Massnahmen und Workaround:'''</big></br>
* Bei den externen Management Interfaces <code>HTTP</code> und <code>HTTPS</code> Management Dienst deaktivieren.
* Zugriff auf bekannte und vertrauenswürdige Sourcen limitieren
* Es wird empfohlen, dass Du Deine Konfiguration überprüfst und die Logs auf unerwartete Änderungen oder das
Anlegen nicht autorisierter Administratorkonten kontrollierst.
'''Indicators of Compromise (Stand 18.11.2025)'''</br>
Bekannte Angreifer IP Adressen:
<pre>
107.152.41.19
144.31.1.63
89.169.55.168
185.192.70.33
185.192.70.53
185.192.70.43
185.192.70.25
185.192.70.36
185.192.70.49
185.192.70.39
185.192.70.57
185.192.70.50
185.192.70.46
185.192.70.31
64.95.13.8
</pre>
<small>Siehe: [https://insights.integrity360.com/threat-advisories/threat-advisory-fortinet-fortiweb-active-exploit-nov-2025 Integrity360] <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small></small> 


== Support Alert ==
Die Angreifer haben folgende Zugangsdaten verwendet:
<pre>
Testpoint - AFodIUU3Sszp5
trader1 - 3eMIXX43
trader - 3eMIXX43
test1234point - AFT3$tH4ck
Testpoint - AFT3$tH4ck
Testpoint - AFT3$tH4ckmet0d4yaga!n
</pre>
<small>Siehe: [https://thehackernews.com/2025/11/fortinet-fortiweb-flaw-actively.html Hacker News] <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small></small> 
----
'''Weitere Informationen findet man unter folgenden externen Artikeln:'''<br>
<small>
PSIRT - FortiGuard:
* https://fortiguard.fortinet.com/psirt/FG-IR-25-910 <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small>
* https://www.fortinet.com/blog/psirt-blogs/analysis-of-sso-abuse-on-fortios<small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small>
CVE Informationen 
* https://www.cve.org/CVERecord?id=CVE-2025-64446 <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small>
Articwolf:
* https://arcticwolf.com/resources/blog/cve-2025-64446/ <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small>
BSI - Deutschland:
* [https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2025-2603 Warnung BSI] <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small>
The Hacker News:
* [https://thehackernews.com/2025/11/fortinet-fortiweb-flaw-actively.html Hacker News] <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small>
</small>
----
<small>edit 10.12.2025 - 4Tinu</small>
|}
----


=== Fortinet Support Bulletin Anouncing Page? ===
{| class="wikitable" style="width:100%"
|-
| style="width:100px;background-color: #f2f79d;vertical-align:top"| <span style="color:#ffbb98">[[File:vulnerability.svg|100px|link=]]</span>
|


Fortinet Support Bulletin Announcing Page ist eine Seite in der Fortinet von Zeit zu Zeit wichtige Informationen zu BugFixes, Critical Bugs im Zusmmenhang mit dem Support der Fortinet Produkte lanciert:
===Authentication bypass in Node.js websocket module - CVE-2024-55591===
----
<big>'''Problembeschreibung:'''</big><br>
Eine gezielte Kampagne auf Fortinet FortiGate-Firewalls mit exponierten(externe) Managementinterfaces wurde identifiziert.</br>
Bedrohungsakteure erlangten unbefugten administrativen Zugriff, indem sie neue Benutzerkonten erstellten, SSL-VPN-Zugriffe konfigurierten und laterale Bewegungen
innerhalb des Netzwerks durchführten. Der initiale Zugriffspfad ist bislang nicht bestätigt; es wird jedoch eine Zero-Day-Schwachstelle vermutet.


        https://support.fortinet.com/EndUser/Bulletin.aspx
<big>'''Auswirkung:'''</big><br> Eine erfolgreiche Ausnutzung ermöglicht unautorisierte Konfigurationsänderungen, einschliesslich der Erstellung von gefälschten Administratorkonten und SSL-VPN-Zugängen,
was potenziell zur vollständigen Kompromittierung des Systems führen kann.


=== Fortinet Announced neue MAC-Adressen für AccessPoints (FAP)? ===
<big>'''Bedrohungslevel:'''</big><br>
* Severity '''Critical'''
* Die Bedrohung wird mit einem CVSSv3 Score von '''9.6''' eingestuft!
<big>'''Betroffene Systeme:'''</big><br>
* FortiGate mit '''FortiOS 7.0.0 - 7.0.16'''


Bis anhin hat Fortinet Access Points ausgeliefert basierend auf der MAC Adresse "00:09:0F" (Stand April 2013). Diese MAC Adresse ist direkt verknüpft mit der FortiOS Software auf de Access Points für vers. Funktionen. Nun aus nicht bekannten Gründen werden neu ausgelieferte Fortinet Access Points mit der MAC Adresse "08:5B:0E" ausgeliefert. Dies kann (muss nicht) zu Problemen führen im Betrieb da wie schon erwähnt die MAC Adresse mit dem FortiOS verknüpft ist. Um diese Probleme zu verhindern ist zu beachten mind. FortiOS 5.0.3 auf den Access Points einzusetzen da in diesem Patch Release dem Umstand der neuen MAC Adresse Rechnung getragen wird. Wenn dem nicht Rechnung getragen wird dh. neue MAC Adresse mit FortiOS 5.0.2 auf den Access Points betrieben wird kann dies zu Problemen führen. Nachfolgendes Dokument wurde von Fortinet betreffend diesem Umstand als "Customer Support Bulletin" herausgegeben:
* FortiProxy mit '''ProxyOS 7.2.0 - 7.2.12'''
* FortiProxy mit '''ProxyOS 7.0.0 - 7.0.19'''
''Folgende FortiOS Versionen sind '''nicht''' betroffen:''
*'' FortiOS 7.2.x''
* ''FortiOS 7.4.x''
* ''FortiOS 7.6.x''
<big>'''Lösung:'''</big></br>
Auf folgende Versionen kann upgedatet werden, damit diese Sicherheitslücke geschlossen wird:
* Upgraden der '''FortiGate''' auf die [[FortiGate:FAQ#Wo_finde_ich_die_Release_Notes_für_FortiOS_7.0%3F|Version 7.0.17]] oder höher &rArr; <small>(Das FortiOS 7.0.17 wurde am 14.1.2025 ausgerollt.)</small>
* Upgraden vom '''FortiProxy''' auf die Version '''7.2.13''' oder höher
* Upgraden vom '''FortiProxy''' auf die Version '''7.0.20''' oder höher
<big>'''Weitere Massnahmen und Workaround:'''</big></br>
* Bei den externen Management Interfaces <code>HTTP</code> und <code>HTTPS</code> Management Dienst deaktivieren.
* Zugriff auf bekannte und vertrauenswürdige Sourcen limitieren : [[Tipps%26Tricks#Wie_kann_ich_den_Adminzugang_auf_dem_externen_Interface_einschraenken?|Wie kann ich den Adminzugang auf dem externen Interface einschränken?]] <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small>
----
'''Weitere Informationen findet man unter folgenden externen Artikeln:'''<br>
<small>
PSIRT - FortiGuard:
* https://www.fortiguard.com/psirt/FG-IR-24-535 <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small>
CVE Informationen 
* https://www.cve.org/CVERecord?id=CVE-2024-55591 <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small>
Articwolf:
* https://arcticwolf.com/resources/blog/console-chaos-targets-fortinet-fortigate-firewalls/ <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small>
BSI - Deutschland:
* [https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2025/2025-213432-1032.pdf?__blob=publicationFile&v=2 Warnung BSI] <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small>
</small>


        [[Datei:CSB-130403-1-FortiAP-MAC-Addresses.pdf]]
----
<small>edit 15.01.2025 - 4Tinu</small>
|}
----
{| class="wikitable" style="width:100%"
|-
| style="width:100px;background-color: #f2f79d;vertical-align:top"| <span style="color:#ffbb98">[[File:vulnerability.svg|100px|link=]]</span>
|


Wir bitten allen Kunden zukünftig auf den Access Points mind. FortiOS 5.0.3 einzusetzen. Wenn die Access Points im Zusammenhang mit FortiGate FortiOS 4 MR3 eingesetzt werden siehe folgender Artikel:
===FortiManager Missing authentication in fgfmsd - CVE-2024-47575===
----
<big>'''Problembeschreibung:'''</big><br>
Eine fehlende Authentifizierung für eine kritische Funktion [CWE-306] im FortiManager <code> fgfmd Daemon </CODE> kann es einem entfernten,
nicht authentifizierten Angreifer mit einem gültigen Fortinet-Zertifikat,
das von einem Fortinet-Gerät oder einer VM extrahiert wurde, ermöglichen, beliebigen Code oder Befehle über speziell gestaltete Anfragen
auszuführen.</br>
'''Auswirkung:'''</br> Unautorisierte Ausführung von Code oder Befehlen</br>
'''Details:'''</br> Ein entfernter, nicht authentifizierter Angreifer kann Berechtigungen umgehen und unautorisierte Befehle ausführen, was den Download von FortiManager-Konfigurationen ermöglichen kann, einschliesslich derjenigen der verwalteten FortiGate-Geräte.


        [[FortiAP:FAQ#Welche_Firmware_sollte_auf_einer_FortiGate_und.2Foder_FortiAP_benutzt_werden.3F]]
FG-IR: FG-IR-24-423</br>
<big>'''Bedrohungslevel:'''</big><br>
* Severity '''Critical'''
* Die Bedrohung wird mit einem CVSSv3 Score von '''9.8''' eingestuft!
<big>'''Betroffene Systeme:'''</big><br>
* FortiManager  7.6.0 und älter
* FortiManager 7.4.0 bis 7.4.4
* FortiManager 7.2.0 bis 7.2.7
* FortiManager 7.0.0 bis 7.0.12
* FortiManager 6.4.0 bis 6.4.14
* FortiManager 6.2.0 bis 6.2.12


=== Fortinet zieht FortiGate FortiOS 4.3 Patch 13 zurück? ===
* FortiManager Cloud 7.6 ist nicht betroffen
* FortiManager Cloud 7.4.1 bis 7.4.4  
* FortiManager Cloud 7.2.1 bis 7.2.7
* FortiManager Cloud 7.0.1 bis 7.0.12
* FortiManager Cloud 6.4 sind alle Versionen betroffen


Fortinet hat am 7. May 2013 die neue Firmware für FortiGate's FortiOS 4 MR3 Patch13 zur Verfügung gestellt und hat diese am gleichen Tag zurückgezogen. Probleme gab es im IPSec Bereich (Phase 2) durch die Definition eines Subnets. Als Workaround kann in der Phase2 der Selektor die IP als Bereich definiert werden zB. 192.168.1.1-192.168.1.255. Ist der Selektor als IP in der Form 192.168.1.0/24 definiert kommt es zu Problemen. Weitere Informationen im offiziellen "Customer Support Bulletin" von Fortinet:
<big>'''Lösung:'''</big></br>
Auf folgende Versionen kann upgedatet werden, damit diese Sicherheitslücke geschlossen wird:
* Upgraden auf die FortiManager Version 7.6 upgraden auf die Version '''7.6.1''' oder höher &rarr; [[FortiManager:FAQ#Wo_finde_ich_die_Release_Notes_für_den_FortiManager?|Release Notes auf dem Wiki]]
* Upgraden auf die FortiManager Version 7.4 upgraden auf die Version '''7.4.5''' oder höher &rarr; [[FortiManager:FAQ#Wo_finde_ich_die_Release_Notes_für_den_FortiManager?|Release Notes auf dem Wiki]]
* Upgraden auf die FortiManager Version 7.2 upgraden auf die Version '''7.2.8''' oder höher &rarr; [[FortiManager:FAQ#Wo_finde_ich_die_Release_Notes_für_den_FortiManager?|Release Notes auf dem Wiki]]
* Upgraden auf die FortiManager Version 7.0 upgraden auf die Version '''7.0.13''' oder höher &rarr; [[FortiManager:FAQ#Wo_finde_ich_die_Release_Notes_für_den_FortiManager?|Release Notes auf dem Wiki]]
* Upgraden auf die FortiManager Version 6.4 upgraden auf die Version '''6.4.15''' oder höher &rarr; [[FortiManager:FAQ#Wo_finde_ich_die_Release_Notes_für_den_FortiManager?|Release Notes auf dem Wiki]]
* Upgraden auf die FortiManager Version 6.2 upgraden auf die Version '''6.2.13''' oder höher &rarr; [[FortiManager:FAQ#Wo_finde_ich_die_Release_Notes_für_den_FortiManager?|Release Notes auf dem Wiki]]


        [[Datei:CSB-130507-1-FortiOS-IPSec-VPN.pdf]]
* Upgraden auf die FortiManager Cloud Version 7.4 upgraden auf die Version 7.4.5 oder höher
* Upgraden auf die FortiManager Cloud Version 7.2 upgraden auf die Version 7.2.5 oder höher
* Upgraden auf die FortiManager Cloud Version 7.0 upgraden auf die Version 7.0.5 oder höher
* Upgraden auf die FortiManager Cloud Version 6.4 auf eine höhere GA Version upgraden/migrieren


Wir bitten alle Kunden diese Release nicht zu benutzen und falls bereits angewendet ein Rollback durchzuführen oder als letzte Möglichkeit den Workaround anzuwenden!
Die alten FortiAnalyzer-Modelle
* 1000E
* 1000F
* 2000E
* 3000E
* 3000F
* 3000G
* 3500E
* 3500F
* 3500G
* 3700F
* 3700G
* 3900E
mit der folgenden aktivierten Funktion (FortiManager auf FortiAnalyzer):
{| class="wikitable" style="width:550px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre style="background-color:#252269;color: #FFFFFF">
config system global 
set fmg-status enable 
end
</pre>
|}
Ebenfalls ist mindestens ein Interface mit aktiviertem fgfm-Dienst von dieser Sicherheitslücke betroffen.


        '''NOTE''' Am 17. Mai 2013 wurde Patch 14 Released. In diesem Release wurde der Fehler
<big>'''Workarounds:</big></br>
            korrigiert. Wir bitten alle Kunden die den Patch 13 verwenden mit dem
            Workaround ein Upgrade auf Patch 14 durchzuführen!


=== FortiGate/FortiOS Ports down after 248 days of operation? ===
'''Massnahme 1''':</br>
Auf dem FortiManager der Versionen <=7.0.12, <=7.2.5 oder <=7.4.3 (ausser 7.6.0) kann mit folgender Konfiguration verhindert werden, dass unbekannte Geräte sich versuchen zu registrieren:
{| class="wikitable" style="width:550px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre style="background-color:#252269;color: #FFFFFF">
config system global
    set fgfm-deny-unknown enable
end
</pre>
{| class="wikitable" style="width:500px"
|-
| style="width:50px;background-color: #FF7730;"| <span>[[File:wichtig.svg|50px|link=]]</span>
| style="background-color: #FFB991"|
Wenn du diese Einstellung aktivierst, verhindert FortiManager, dass sich ein FortiGate-Gerät registriert, falls dessen Seriennummer nicht in der Geräteliste hinterlegt ist, selbst wenn das Modellgerät und der vorab geteilte Schlüssel (PSK) übereinstimmen.
|}
|}


Bei unten aufgeführten FortiGate Modellen/FortiOS Versionen kann es bei 1G und 10G Ports zu bestimmten Symptomen kommen. Dies speziell nach 248 Tagen dh. Diese Symptome treten nicht per Standard auf sondern treten nur auf wenn auf FortiOS Ebene eine bestimmten Konstellation eintritt. folgende Symptome können auftreten:
'''Massnahme 2''':</br>
Für alle FortiManager ab der Version 7.2.0 kannst du Abhilfemassnahmen ergreifen, indem du lokale Firewallregeln (Local-In-Regeln) erstellst.  
Damit kannst du die IP-Adressen der FortiGate-Geräte, welche eine Verbindung herstellen dürfen, auf eine Freigabeliste zu setzen.  


        Link negotiation errors
Alternativ kannst du dies auch über einer externen Firewall welche vor dem FortiManager platziert ist, im Regelset konfigurieren.
        Port status down
        Port satus up but no traffic passing
        Link failure
        Port interface statistic rx/tx not correct


Folgende Modelle und Module sind betroffen:
Um eine lokale Firewallregel auf dem FortiManager zu konfigurieren, die Verbindungen von einem bekannten Subnetz, z. B. 198.18.250.0/24 (Verwaltungsnetzwerk),
sowie der spezifischen IP-Adresse 10.250.17.2 (FortiGate-Gerät) zulässt, verwende folgende Regeln:
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre style="background-color:#252269;color: #FFFFFF">
config system local-in-policy
    edit 1
        set action accept
        set src 198.18.250.0/24
        set dport 443  <--- WebGui Adminport
    next
    edit 2
        set action accept
        set src 198.18.250.0/24
        set dport 22  <--- SSH Adminport
        next
    edit 3
        set action accept
        set src 10.250.17.2/32
        set dport 541  <--- Erlaube nur TCP/541 von bekannten FortiGate-IP-Adressen.
      next
    edit 4
      next
end
</pre>
{| class="wikitable" style="width:750px"
|-
| style="width:50px;background-color: #276ef1;"| <span>[[File:info.svg|50px|link=]]</span>
| style="background-color: #A9C5F9"|
Es ist wichtig zu beachten, dass die Regel '''4''' im Beispiel alle Einstellungen auf "Standard" hat.</br>
Dadurch wird diese zu einer expliziten Drop-Regel, die den Zugriff von allen anderen IP-Adressen blockiert.
|}
|}


        FortiGate: 600C/800C/1000C/1240B/3040B/3140B/3240C/3950B/3951B/5001B/5101C/5203B
Weitere Informationen betreffend Local-In-Regeln auf dem FortiManager findet man im CLI Guide:
        FortiGate FMC Module: C20/F20/XD2
* https://docs.fortinet.com/document/fortimanager/7.6.0/cli-reference/68140/local-in-policy
        FortiCarrier: 3950B/3951B/5001B


Folgende FortiOS Pachlevel sind betroffen:
'''Massnahme 3''':</br>
Für Versionen 7.2.2 und höher, 7.4.0 und höher, 7.6.0 und höher ist es auch möglich, ein benutzerdefiniertes Zertifikat zu verwenden, um die Sicherheitslücke zu beheben:


        FortiOS 4.0 MR2 GA to Patch Release 12 (4.2.12)
{| class="wikitable" style="width:850px"
        FortiOS 4.0 MR3 GA to Patch Release 8 (4.3.8)
|- style="background:#89E871"
        FortiOSCarrier 4.0 MR2 GA to Patch Release 12 (4.2.12)
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
        FortiOSCarrier 4.0 MR3 GA to Patch Release 8 (4.3.8)
|-
|
<pre style="background-color:#252269;color: #FFFFFF">
config system global
set fgfm-ca-cert <Zertifikat>
set fgfm-cert-exclusive enable
end
</pre>
|}
*Installiere dieses Zertifikat auf den FortiGate-Geräten.
*Nur dieses CA-Zertifikat wird akzeptiert.
*Dies bietet einen zusätzlichen Schutz, sofern der Angreifer kein Zertifikat erhält, das von dieser CA signiert wurde.
{| class="wikitable" style="width:850px"
|-
| style="width:50px;background-color: #276ef1;"| <span>[[File:info.svg|50px|link=]]</span>
| style="background-color: #A9C5F9"|
Für FortiManager-Versionen 6.2, 6.4 und 7.0.11 und darunter, führe bitte ein Upgrade auf eine der oben genannten Versionen durch und wende die entsprechenden Workarounds an.
|}
----
'''Weitere Informationen findet man unter folgenden externen Artikeln:'''<br>
<small>
PSIRT - FortiGuard:
* https://fortiguard.fortinet.com/psirt/FG-IR-24-423 <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small>
Informationen  CVE-2024-47575
* https://www.cve.org/CVERecord?id=CVE-2024-47575 <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small>
Informationen auf Heise.de:
* https://www.heise.de/news/FortiManager-Update-schliesst-offenbar-bereits-attackierte-Sicherheitsluecke-9990393.html <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small>
Google:
* https://cloud.google.com/blog/topics/threat-intelligence/fortimanager-zero-day-exploitation-cve-2024-47575/?hl=en <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small>
</small>
----
<small>add 14.10.2024 - 4Tinu</small>
|}
{| class="wikitable" style="width:100%"
|-
| style="width:100px;background-color: #f2f79d;vertical-align:top"| <span style="color:#ffbb98">[[File:vulnerability.svg|100px|link=]]</span>
|
=== Sicherheitsluecke Heap buffer overflow in sslvpn pre-authentication - CVE-2023-27997===
[[Datei:new.svg|40px|link=]]
----
<big>'''Problembeschreibung:'''</big>  <br>
Eine neue kritische Sicherheitslücke, die derzeit noch nicht öffentlich bekannt ist, betrifft Fortinets Fortigate-Firewalls, genauer gesagt die SSL-VPN-Funktionen.


Ein Workaround ist auf den letzen FortiOS Patchlevel upzugraden. Wenn das Symptome auftritt sollte für eine sofortige Lösung der Device neu gestartet werden! Folgende Support Bulletin von Fortinet gibt Auskunft über dieses Issue:
Die Sicherheitslücke ermöglicht es auf allen FortiGate mit aktivem SSL-VPN sich ohne Authentifizierung diese Schwachstelle auszunutzen.


        [[Datei:CSB-270513-1-port-down-248-days-1.pdf]]
<big>'''Bedrohungslevel:'''</big>  <br>
Der Schweregrad der Sicherheitslücke wird mit '''9.3''' !! eingestuft


=== Der FortiAnalyzer 4.0 MR3 Patch 6 FIPS und CC Zertifiziert? ===
<big>'''Betroffene Systeme:'''</big><br>
'''FortiOS Versionen:'''
* FortiOS Version 7.2.0 bis 7.2.4
* FortiOS Version 7.0.0 bis 7.0.11
* FortiOS Version 6.4.0 bis 6.4.12
* FortiOS Version 6.0.0 bis 6.0.16
* Das FortiOS 7.4.0 ist nicht betroffen.
'''FortiProxy Versionen: '''
* FortiProxy Version 7.2.0 bis 7.2.3
* FortiProxy Version 7.0.0 bis 7.0.9
* FortiProxy Version 2.0.0 bis 2.0.12
* FortiProxy 1.2 alle Versionen
* FortiProxy 1.1 alle Versionen
'''FortiOS-6K7K Versionen:'''
* FortiOS-6K7K Version 7.0.10
* FortiOS-6K7K Version 7.0.5
* FortiOS-6K7K Version 6.4.12
* FortiOS-6K7K Version 6.4.10
* FortiOS-6K7K Version 6.4.8
* FortiOS-6K7K Version 6.4.6
* FortiOS-6K7K Version 6.4.2
* FortiOS-6K7K Version 6.2.9 bis 6.2.13
* FortiOS-6K7K Version 6.2.6 bis 6.2.7
* FortiOS-6K7K Version 6.2.4
* FortiOS-6K7K Version 6.0.12 bis 6.0.16
* FortiOS-6K7K Version 6.0.10
<small>Liste wurde von [https://www.fortiguard.com/psirt/FG-IR-23-097| hier] entnommen:</small>


Folgende Builds basierend auf "4.0 MR3 Patch 6" des FortiAnalyzer wurden FIPS und [[http://de.wikipedia.org/wiki/Common_Criteria_for_Information_Technology_Security_Evaluation| CC]] Zertifiziert:
<big>'''Workaround:'''</big><br>
Das SSL-VPN auf der FortiGate deaktivieren, bis das Gerät auf einer der unter '''Lösung''' aufgeführten FortiOS Versionen, upgedatet werden kann.


        FortiAnalyzer-100C, 400B, 400C, 1000C, 2000B, 4000B
<big>'''Lösung:'''</big><br>
Um die Sicherheitslücke im betroffenen FortiOS zu schliessen auf einer der folgenden FortiOS Versionen updaten.
'''FortiOS'''
* 7.2.5  -> [https://docs.fortinet.com/document/fortigate/7.2.5/fortios-release-notes/760203/introduction-and-supported-models| ReleaseNotes 7.2.5]
* 7.0.12 -> [https://docs.fortinet.com/document/fortigate/7.0.12/fortios-release-notes/760203/introduction-and-supported-models| ReleaseNotes 7.0.12]
* 6.4.13 -> [https://docs.fortinet.com/document/fortigate/6.4.13/fortios-release-notes/760203/introduction-and-supported-models| ReleaseNotes 6.4.13]
* 6.2.15 -> [https://docs.fortinet.com/document/fortigate/6.2.15/fortios-release-notes/760203/introduction-and-supported-models| ReleaseNotes 6.2.15]
* 6.0.17 -> [https://docs.fortinet.com/document/fortigate/6.0.17/fortios-release-notes/760203/introduction| ReleaseNotes 6.0.17]<small>EoS</small>
'''FortiProxy'''
* FortiProxy 7.2.4 oder höher -> [https://docs.fortinet.com/document/fortiproxy/7.2.4/release-notes/146706/introduction| ReleaseNotes 7.2.4]
* FortiProxy 7.0.10 oder höher -> [https://docs.fortinet.com/document/fortiproxy/7.0.10/release-notes/146706/introduction| ReleaseNotes 7.0.10]
* FortiProxy 2.0.13 oder höher -> [https://docs.fortinet.com/product/fortiproxy/2.0| Momentan keine Release Notes für die 2.0.13 Version auf den Docs]
'''FortiOS-6K7K'''
* FortiOS-6K7K 7.0.12 oder höher -> [https://docs.fortinet.com/product/fortigate/7.0| Momentan keine Release Notes für die 7.0.12 Version auf den Docs]
* FortiOS-6K7K 6.4.13 oder höher -> [https://docs.fortinet.com/product/fortigate/6.4| Momentan keine Release Notes für die 6.4.13 Version auf den Docs]
* FortiOS-6K7K 6.2.15 oder höher -> [https://docs.fortinet.com/product/fortigate/6.2| Momentan keine Release Notes für die 6.2.15 Version auf den Docs]
* FortiOS-6K7K 6.0.17 oder höher -> [https://docs.fortinet.com/product/fortigate/6.0| Momentan keine Release Notes für die 6.0.17 Version auf den Docs]
<big>'''Weitere empfohlene Massnahmen:'''</big><br>
Neben der Überwachung von Sicherheitshinweisen und dem sofortigen Patchen von Systemen empfiehlt Fortinet dringend Folgendes:
* Überprüfen der Systeme auf Hinweise auf die Ausnutzung früherer Schwachstellen, z.B. FG-IR-22-377 / CVE-2022-40684
* Achte auf eine eine gute Cyber-Hygiene und befolge die Patching-Empfehlungen der Hersteller.
* Befolge die Hardering Empfehlung wie solche vom FortiOS Hardening Guide 
** [[Datei:FortiGate-BestPractices-62.pdf]] [[File:FortiOS_62.svg|20px|link=]] <small>6.2.13</small>
** [[Datei:FortiGate-BestPractices-64.pdf]] [[File:FortiOS_64.svg|20px|link=]]
** [[Datei:FortiGate-BestPractices-70.pdf]] [[File:FortiOS_70.svg|20px|link=]] <small>7.0.11</small>
** [[Datei:FortiGate-BestPractices-72.pdf]] [[File:FortiOS_72.svg|20px|link=]] <small>7.2.5</small>
** [[Datei:FortiGate-BestPractices-74.pdf]] [[File:FortiOS_74.svg|20px|link=]] <small>7.4.0</small>
** [[Datei:FortiGate-Hardening-60.pdf]] [[File:FortiOS_60.svg|20px|link=]]
** [[Datei:FortiGate-Hardening-64.pdf]] [[File:FortiOS_64.svg|20px|link=]] 
* Minimiere die Angriffsfläche, indem ungenutzte Funktionen deaktivieren werden. (zum Beispiel das SSL-VPN)
* Benutze ein Out of Band Netz für das Managen der Geräte. (Dediziertes Management Netz, welches von allen anderen Netzen abgeschotet ist)
----
'''Weitere Informationen findet man unter folgenden externen Artikeln:'''<br>
<small>
Heise DE:
* https://www.heise.de/news/Fortinet-SSL-VPN-Luecke-ermoeglicht-Codeschmuggel-9184284.html
PSIRT - FortiGuard:
* https://www.fortiguard.com/psirt/FG-IR-23-097
* https://www.fortinet.com/blog/psirt-blogs/analysis-of-cve-2023-27997-and-clarifications-on-volt-typhoon-campaign
CVE:
* https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-27997
* https://www.cve.org/CVERecord?id=CVE-2023-27997
</small>
----
<small>edit 22.05.2025 - 4Tinu</small>
|}


Weitere Informationen können über das offizielle Dokument des Support Bulletins entnommen werden:
== Support Alert ==
=== Was ist die Fortinet Support Bulletin Anouncing Page? ===
Fortinet Support Bulletin Announcing Page ist eine Seite in der Fortinet von Zeit zu Zeit wichtige Informationen zu BugFixes, Critical Bugs im Zusmmenhang mit dem Support der Fortinet Produkte lanciert:
* https://support.fortinet.com/EndUser/Bulletin.aspx


        [[Datei:CSB-130507-2-FAZ-40MR3P6-FIPS-CC-Certified-Firmware.pdf]]
=== Support Alert Meldungen ===
Hier findet man die Support Alert Meldungen welche wir noch ein wenig mit Hintergrund Informationen versuchen zu ergänzen:
{| class="wikitable" style="width:100%"
|-
| style="width:100px;background-color: #f2f79d;vertical-align:top"| <span style="color:#ffbb98">[[File:achtung.svg|100px|link=]]</span>
|
=== FortiOS 7.0.4 Proxy-Modus Applikations Kontrolle - CSB-220207-1 ===
----
'''Beschreibung:'''<br>
Beim FortiOS 7.0.4 gibt ein potenzielles Problem mit Applikationscontroll Profile welche im Proxymodus verwendet werden.
Dabei werden SSL-insertifizierte Session vorzeitig geschlossen, was zu einem Unterbruch des Datentraffics führt.
Das Verhalten wird möglicherweise nicht sofort nach dem Upgrade auf 7.0.4 sichtbar sein.


=== FortiClient AV update package causes connectivity issues? ===
Profile im '''Flow Modus''' sind davon nicht betroffen:


Am 19. Juli 2013 wurde durch Fortinet über das FortiGuard Environment ein Antivirus Definition File Update bereitgestellt mit der Version 17.940! Diese Version des Antivirus Definiton File beinhaltete ein "False Positive". Dies bedeutet das Microsoft File "tcpip.sys" wurde fälschlicherweise als Virus erkannt. Durch diesen "False Positive" wurde das File - sofern auf dem Client ein "scheduled scan" durchgeführt wurde - in die Quarantine verschoben. Effekt daraus war, dass die Netzwerkverbindung des betroffenen Client - durch das verschieben des genannten Files - unterbrochen wurde sowie nicht mehr funktionierte da dieses File "tcpip.sys" benötigt wird auf einem Client um eine erfolgreichen Netzwerkverbindung zu etablieren.
'''Betroffene Produkte:'''<br>
* FortiGate
'''Betroffene Betriebsysteme'''<br>
* FortiOS 7.0.4


Dieser "False Positive" wurde durch das Defintion File Update am 22. Juli 2013 mit der Version 17.943 korrigiert!
'''Workaround im 7.0.4:'''
* Anstatt Proxy basierte Profile momentan Flow basierte Profile benutzen.
* Wenn das Problem auftritt, kann vorübergehend das starten des Wad-Proxy helfen:
* <code> diag test application wad 99 </code>


        '''Workaround um den "False Positvie" zu beheben:'''
{| class="wikitable" style="width:800px"
       
|- style="background:#89E871"
        Kontrollieren Sie im FortiClient ob das File "tcpip.sys" sich in der Quarantine befindet:
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
       
|-  
        FortiClient Console > Klicke auf AntiVirus > danach wähle "Threats Quarantined"
|
       
<pre>
        Befindet sich das File "tcpip.sys" in der Quarantine führe folgendes durch:
diagnose test application wad 99
       
</pre>
        1. Download the TCPIP-fix.zip file from the following location and copy to a USB flash drive or similar media:
|}
         
            ftp://ftp-temp:r3triev3@support.fortinet.com/dropbox/CSB_Forticlient_17.940/TCPIP-fix.zip
         
        2. Disable the "Real Time Protection" from the FortiClient Console.
        3. Shutdown the FortiClient software.
        4. Open the cmd prompt with "Run As Administrator" privilege.
        5. Perform the command "net stop fortishield".
        6. Transfer the TCPIP-fix.zip to the workstation from the USB flash.
        7. Extract TCPIP-fix.zip into a folder.
        8. Using the command line interface, browse to the extracted folder.
        9. Perform "runme.bat" and wait for the script to finish. You will see the following message in the CMD window:
       
            Please reboot when Windows reports that it has finished installing adapters.
            Press any key to continue . . .
        10. In the Windows tray, you will see a message "Installing device driver software" and then a second message "Your device is ready to use".
        11. Reboot the PC.
        12. After the reboot and the network is restored, update the FortiClient AV signatures.
        13. Re-enable "Real Time Protection" from the FortiClient Console.


Weitere Informationen können über das offizielle Dokument des Support Bulletins entnommen werden:
'''Lösung:'''<br>
Im FortiOS 7.0.5 ist dieses Problem behoben. Daher empfehlen wir von 7.0.4 auf 7.0.5 upzugraden
* https://docs.fortinet.com/document/fortigate/7.0.5/fortios-release-notes/289806/resolved-issues
* Release Notes: [[Datei:FortiOS-Release-Notes-Version-7.0.5.pdf]]
*  Vor dem Upgrade ein Backup erstellen : [[FortiGate:FAQ#Wie_kann_ich_das_Konfigurationsfile_von_der_FortiGate_backupen.3F|Wie kann ich das Konfigurationsfile von der FortiGate backupen?]]
----
<small>Quelle:</small><br>
<small>''https://support.fortinet.com/Information/Bulletin.aspx Bulletin CSB 220207-1 vom 9.2.2022''</small>
<!-- add 17.02.2022 4tinu -->
|}
{| class="wikitable" style="width:100%"
|-
| style="width:100px;background-color: #f2f79d;vertical-align:top"| <span style="color:#ffbb98">[[File:achtung.svg|100px|link=]]</span>
|


        [[Datei:CSB-130724-1_FCT_AV_package_network_issue.pdf]]
===Zugriff auf Websites mit SSL-Überprüfung blockiert ===
----
Es scheint ein anhaltendes Problem mit der Zertifikatskette einer Stammzertifizierungsstelle (ISRG Root X1) zu geben.
Dieses Problem betrifft alle Anbieter von SSL-Inspektionsprodukten, unabhängig davon Full-Inspektion oder Zertifikats Inspektion verwendet wird.  


=== FortiWeb connection timeouts during IP Reputation service update? ===
{| class="wikitable" style="width:800px"
|-
| style="width:100px;background-color: #f2f79d;vertical-align:top"| <span style="color:#ffbb98">[[File:achtung.svg|100px|link=]]</span>
|
Dieser Issue wird mit den folgenden FortiOS Releases behoben:
* FortiOS 6.2.10 
* FortiOS 6.4.8
* Im FortiOS 7.0.3 ist der Bug leider immer noch enthalten.
Genaueres findet man in den Release Notes der entsprechenden Versionen unter Know Issues und Resolved Issues
|}


Bei WebServer'n die über FortiWeb geschützt werden -im Zusammenhang mit dem auf dem FortiWeb aktivierten Service "IP Reputation"- kommt es zu "Connection Timouts". Dieser Fehler stammt vom FortiOS das auf dem FortiWeb eingesetzt wird. Die Auswirkungen sind Performance Einbussen die den Zugriff auf die Web Server die über FortiWeb geschützt werden verlangsamen. Wenn dieser Umstand eintrifft wird auf der Console folgendes angezeigt:


        get IP intelligence hash node error(1000000)
'''Es besteht folgender Workaround (Stand 05.10.21)''':


Betroffen von diesem Fehler sind folgende FortiOS im Zusammenhang mit FortiWeb:


        5.0.0, 5.0.1, 5.0.2
Das ''Certificate Bundle'' (Version 1.28), welches die ''Expired Certificates'' ersetzt, ist neu auf FortiGuard erhältlich, und wird im Rahmen geplanter FortiGuard-Updates automatisch heruntergeladen.  


Als Lösung sollte das FortiOS des FortiWeb auf folgenden Release gebracht werden:
Um dies zu valideren, ist folgender CLI-Befehl zu verwenden:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI
|-
|
<pre>
# diagnose autoupdate versions | grep -A5 '^Cert'


        5.0.3
Certificate Bundle
---------
Version: 1.00028
</pre>
|}


Wennn dies nicht möglich ist kann als Workaround der Service/Funktion auf dem FortiWeb der "IP Reputation" deaktiviert werden! Weitere Auskunft gibt folgendes Dokument der diesen Support Alert adressiert:


        [[Datei:CSB-131018-1_FWB_Connection_Timeouts_IP_Reputation.pdf]]
Um das ''Certificate Bundle'' manuell upzudaten, ist folgender CLI-Befehl zu verwenden: 
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI
|-
|
<pre>
# execute update-now
</pre>
|}


=== FortiGate Heartbeat Failures if the system uptime is greater than 497 days? ===


Wenn ein FortiGate HA Cluster mehr als 497 Tage "up and running" ist kommt es zu "heartbeat" Fehlern! Folgende FortiOS sind betroffen:
Sobald das ''Certificate Bundle'' upgedatet wird, ist der Workaround anwendbar. Um sicherzustellen, dass das ''Expired Root CA'' nicht mehr verwendet wird, ist ''DNS Blackholing'' notwendig, welches FortiGate den Zugang zu ''apps.identrust.com'' blockiert.


        FortiOS 4.0.0 - 4.3.15
Folgend ein '''Beispiel''' einer möglichen Konfiguration:
        FortiOS 5.0.0 - 5.0.4
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI
|-
|
<pre>
config system dns-database
edit "1"
set domain "identrust.com"
set authoritative disable
config dns-entry
edit 1
set hostname "apps"
set ip 127.0.0.1
next
end
next
end


Um den Uptime zu überprüfen führe folgendes Kommando aus:
*Hinweis: Sobald apps.identrust.com keine Expired CA Certificates mehr sendet, kann die Konfiguration entfernt werden
*Hinweis: Mittels Teil-Befehl "set authoritative disable" werden andere FQDNs (z.B. commercial.ocsp.identrust.com) weiterhin resolved
</pre>
|}


      # get sys performance status


Um den "heartbeat" Fehler zu beheben führen einen Neustart des Cluster's durch um die "Sys Uptime" zurück zustellen! Weitere Auskunft gibt folgendes Dokument der diesen Support Alert adressiert:
Sobald das oben-erwähnte ''DNS Blackholing'' aktiviert wird, können folgende (vorher getätigte) Änderungen wieder rückgängig gemacht werden:  


        [[Datei:CSB-131106-1_FGT_Heartbeat_failures_497_days.pdf]]
1) Von '''Proxy''' zu '''Flow''' Inspection


=== FortiGate System Freeze mit FortiOS 5.0.5 FGT-3810A / FGT-5001B/C? ===
2) Zwischenzeitliches Erlauben von '''Expired Certificates'''


Einge Modelle von FortiGate dh. FGT-3810A / FGT-5001B/C mit FortiOS 5.0.5 sind von folgenden Umstand betroffen:


        Wenn "heavy-load" im Zusammenhang mit HTTP Traffic auftritt kann ein System Freeze eintreten!


Wenn dies eintritt ist die CLI sowie das Web Mgmt. Interface nicht mehr zugänglich. Dieser Umstand tritt nur auf im Zusammenhang mit den genannten Geräten, bestimmten NP4 Prozessoren und VLAN's sowie FortiOS 5.0.5! Fortinet wird am November 22, 2013 für die betroffenen Geräte einen Patch zur Verfügung stellen. Weitere Informationen findet man im foglenden Support Alert Dokument:
Mehr Details zu den oberen Schritte findet man unter folgendem Link:


        [[Datei:CSB-131113-1_FGT_NP4_Hang_Issue.pdf]]
https://kb.fortinet.com/kb/documentLink.do?externalID=FD53305 -> "Technical Tip: Expiring Let’s Encrypt Certificates"


=== FortiGuard updates to FortiOS 2.8 to finish? ===


Am 28. November 2013 kündigt Fortinet an das FortiOS basierend auf Version 2.8 EOL (End Of Life) geht dh. speziell für die IPS Engine 1.000 sowie AV Engine 3.003 werden keine Updates mehr zur Verfügung gestellt sowie die Entwicklung wird eingestellt. Alle FortiGate's basierend auf FortiOS 2.8 sollten so schnell als möglich auf die Version 3.0 gebracht werden um weiterhin betreffend Support sei es IPS und/oder AV Engine zu gewährleisten.
'''Wichtig''': Falls das Problem weiterhin auftaucht, muss eventuell noch der '''IPS''' und '''WAD Cache''' gelehrt werden (siehe Details im oben-erwähnten KB-Artikel/Link)


Diese Ankündigung wurde von FortiGate unter folgendem Customer Support Bulletin herausgegeben '''CSB-131126-1'''.


=== FortiGate/FortiManager IPS Engine update Januar/Februar 2014? ===
Weitere, generelle Informationen findet man unter folgendem Link:


IPS Engine Updates werden über FortiGuard für Customer mit gültigen FortiGuard Service periodisch zur Verfügung gestellt. Dabei handelt es sich nicht um die IPS Signaturen sondern die Engine selber. Die nächste zur Verfügung stehenden IPS Engine Update Version ist die Version 2.174. Diese Engine wird allen FortiGate Devices mit FortiOS 5 sowie FortiOS 4.3.12 oder höher gemäss nachfolgenden Zeitplan automatisch zur Verfügung gestellt:
https://www.fortinet.com/blog/psirt-blogs/fortinet-and-expiring-lets-encrypt-certificates


        January 27th 10:00 PST – Remaining FortiGate units running 4.3.12 or later patch releases
''Danke an Stefanie vom TAC Frankfurt, welche uns diese Information zugestellt hat''
        January 29th 10:00 PST – Premium support customer devices running 4.3.12 or later patch releases
|}
        February 10th 10:00 PST – All FortiManager’s running 4.3.x or 5.0.x software and providing IPS packages to FortiGates running 4.3.12 or later patch releases and all 5.0 versions
       
        '''NOTE''' In seltenen Fällen kommt es zu kurzfristigen "High CPU" Situation der IPS Engine. Diese "High CPU" Situation
            sind nur vorübergehender Natur dh. wenn die "High CPU" Situation permanent besteht siehe nachfolgender Artikel:
           
            [[Fortigate:FAQ#Wie_kann_ich_rausfinden_was_ein_High_CPU_verursacht_und_was_kann_ich_dagegen_tun.3F]]


Wenn Probleme erwartet werden auf der FortiGate etc. kann das automatische Update ebenfalls komplett deaktiviert werden und manuell innerhalb eines Wartungsfenster installiert werden. Dazu stellt Fortinet folgenden Link zur Verfügung um das Packet über folgende Position manuell einzuspielen:
{| class="wikitable" style="width:100%"
|-
| style="width:100px;background-color: #f2f79d;vertical-align:top"| <span style="color:#ffbb98">[[File:achtung.svg|100px|link=]]</span>
|


        ftp://ftp-temp:r3triev3@support.fortinet.com/CustomerCare/flen-400-2.0174.pkg
=== FortiAP Wireless Access Point upgrade Issue with HPE PoE Switches - CSB-210127-1===
       
----
        Einzuspielen über die Position:
Wenn der Power over Ethernet (PoE)-Switch der Marke Hewlett Packard Enterprise (HPE) während eines Upgrades
       
für mehr als 120 Sekunden keine LLDP-Antwort (Link Layer Discovery Protocol) empfängt, kann er
        System > Config > FortiGuard > FortiGuard Subscription Services > IPS Definitions > Update
die angeschlossenen FortiAP-Einheiten einseitig zurücksetzen oder ausschalten. Dies kann zum Anhalten des Upgrades
auf halbem Weg abbricht und somit zu einem Upgrade-Fehler führen kann. Dieses Problem kann auftreten, wenn ein Upgrade versucht wird
von einer beliebigen Software-Version 6.4.2 oder früher. Wenn die FortiAP-Einheit nicht mehr reagiert, wenden Sie sich bitte an den
Technischen Support von Fortinet.


Um nachträglich die IPS Version auf dem FortiGate Device zu Ueberprüfen kann folgender Befehl auf der CLI ausgeführt werden:


        # get syst auto-update version
Es kann ein Problem geben, wenn man einen FortiAP an einem POE-Switch von Hewlett Packard Enterprise (HPE) angeschlossen hat und den FortiAP upgraden will. Das Problem zeigt sich, wenn der FortiAP welcher am upgraden ist,
        IPS Attack Engine
für mehr als 120 Sekunden keine LLPD Antwort ((Link Layer Discovery Protocol)) empfängt. Der FortiAP kann sich einseitig zurück setzen oder wird ausgeschalten. Dies kann zum stop oder Unterbruch des Upgrades führen und generiert so einen Upgrade Fehler.
        --------- Version: 2.00137
Dieses Problem kann auftreten wenn ein FortiAP von einer x-beliebigen Software bis 6.4.2 einen upgrade durchführt.


Diese Ankündigung wurde von FortiGate unter folgendem Customer Support Bulletin herausgegeben '''CSB-140110-1'''.
Falls dieses Problem auftritt und der FortiAP nicht mehr reagiert, kann man sich an den TAC Support von Fortinet wenden. (Ticket mit der Serienummer des betroffenen FortiAP eröffnen.


=== Fortinet Information Disclosure Vulnerability in OpenSSL? ===
'''Betroffene Produkte:'''
* Alle FortiAP Modelle der Serie E
* FortiAP 431F und 433F


Betreffend Details zu diesem "Vulnerability" siehe nachfolgender Artikel:
'''Betroffene OS Versionen:'''
* FortiAP-W2 : 6.0 , 6.2, 6.4.0-6.4.2 (Für die E- Serie)
* FortiAP : 6.4 buld 5760 (für F-Serie 431F und 433F)


      [[Fortinet:Support-Alerts#Fortinet_.22Heartbleed.22_OpenSSL_Vulnerabilitly_Remote_Memory_Disclosure_Vulnerability_8._April_2014_.28CVE-2014-0160.29.3F]]
'''Workaround'''
Auf den HPE PoE-Switches müssen zuerst die LLDP-Funktion den Ports deaktivieren, auf welchem die FortiAP angeschlossen sind, welche upgegradet werden sollen.


Weitere Informationen findet man im foglenden Support Alert Dokument:
Alternativ kann man auch global die LLPD Funktion deaktivieren.


      [[Datei:CSB-140408-1_OpenSSL_Vulnerability.pdf]]
gesamten Switch.
----
'''Konfiguration auf dem HPE Switch:'''
{| class="wikitable"
! style=" width:550px; text-align:left; background:#89E871" |Konfiguration über CLI
|-  
|
<pre>
lldp admin-status <PORT-LIST> txonly | rxonly | tx_rx | disable


=== Fortinet Information Disclosure Vulnerability in OpenSSL? ===
lldp admin-status <POE Port an welchem der FortiAP angeschlossen ist> disable
</pre>
''Referenz: https://techhub.hpe.com/eginfolib/networking/docs/switches/K-KA-KB/15-18/5998-8160_ssw_mcg/content/ch06s12.html ''
|}
'''Lösung'''


Betreffend Details zu diesem "Vulnerability" siehe nachfolgender Artikel:
Fortinet löst dieses Problem für FortiAP der Serie E im FortiOS FortiAP-W2 6.4.3 Build 0451<br>
Für die FortiAP 431F und 433F wird es im FortiAP 6.4.3 Build 0155 behoben.


      [[Fortinet:Support-Alerts#Fortinet_.22Heartbleed.22_OpenSSL_Vulnerabilitly_Remote_Memory_Disclosure_Vulnerability_8._April_2014_.28CVE-2014-0160.29.3F]]
Nachdem alle betroffenen FortiAPs erfolgreich auf die Firmware Version 6.4.3 oder höher aktualisiert wurden, kann die LLDP-Funktion auf den Switches wieder aktiviert werden.


Weitere Informationen findet man im foglenden Support Alert Dokument:
''Customer Support Bulletin CSB-210127-1 vom 27.Januar 2021''
|-
|}
 
 
{| class="wikitable" style="width:100%"
|-
| style="width:100px;background-color: #f2f79d;vertical-align:top"| <span style="color:#ffbb98">[[File:achtung.svg|100px|link=]]</span>
|
 
=== FortiGuard Webserver nicht erreichbar===
----
'''Problem Beschreibung:'''
 
Wir haben viele Meldungen bekommen, dass wen auf FortiOS 6.4 upgegradet wird, es Probleme gibt die Webfilter Server der FortiGuard zu erreichen. Dadurch werden in den Firewall Regeln, welche einen Webfilter oder DNS Filter aktiv haben, diverse Anfragen verworfen. Dies liegt daran, dass die Anfrage einer Webseite welche Kategorie diese hat die FortiGuard Server keine Antwort senden und so diese Anfrage als '''unrated''' eingestuft wird. Je nach dem wie man jetzt den Webfilter/DNS-Filter konfiguriert hat, wird die Aktion ausgeführt, welche bei '''unrated''' konfiguriert wurde:
[[Datei:Fortinet-2857.jpg|link=]]
 
Wenn man auf FortiOS 6.4 upgradet wird der Kommunikationsport von der FortiGuard von udp8888 oder udp53 auf tcp443 geändert.
[[Datei:Fortinet-2856.jpg|link=]]
Diesen Port kann man im Webgui nicht mehr anpassen und muss über die CLI zurück auf udp 8888 oder udp 53 gesetzt werden.
 
'''Workaround'''
<pre>
config system fortiguard
set fortiguard-anycast disable
set protocol udp
set port 8888
end
</pre>


      [[Datei:CSB-140408-1_OpenSSL_Vulnerability.pdf]]
In gewissen Situationen musste die FortiGate neu gestartet werden, dass der Effekt eintraf.


=== FortiGuard Updates für FortiOS 3.0 End Of Life? ===
[[Datei:Fortinet-2858.jpg|link=]]


Fortinet kündigt an, dass die Antivirus Engine (AVE) und IPS Engine (IPSE) im Zusammenhang mit FortiOS 3.0 end of life geht (Juli 2014). Bis Januar 2015 werden keine AV-Engine und/oder IPS-Engine Signaturen Packages für FortiOS 3.0 zur Verfügung gestellt. Ab Januar 2015 wird der Support für FortiOS 3.0 im Zusammenhang mit AV-Engine/IPS-Engine sowie Signaturen Package im FortiGuard Distribution Network komplett eingestellt.
{| class="wikitable" style="width:750px"
|-
| style="width:50px;background-color: #f8e7ea;"| <span style="color:#ba0c2f">[[File:achtung.png|50px|link=]]</span>
|
Es ist darauf zu achten, dass bei einer allfälligen Perimeter Firewall ausgehend der Port UDP-8888 freigeschalten werden muss.
|}
----
Fortinet ist dieses Problem bekannt und es wird daran gearbeitet eine Lösung zu finden.<br>
''Stand 3.11.2020''
|}
{| class="wikitable" style="width:100%"
|-
| style="width:100px;background-color: #f2f79d;vertical-align:top"| <span style="color:#ffbb98">[[File:achtung.svg|100px|link=]]</span>
|


Folgende Produkte sind betroffen:
=== FortiOS 7.6.3 SSL-VPN to IPsec VPN Migration - CSB-250416-1 ===
----
'''Beschreibung:'''</br>
Mit der Einführung und Veröffentlichung von FortiOS 7.6.3 hat Fortinet die Unterstützung für VPNs konsolidiert, wobei bestehende SSL-VPN-Tunnelmodus-Konfigurationsoptionen nicht mehr funktionieren werden.
Um ununterbrochenen Fernzugriff zu gewährleisten, musst Du Deine SSL-VPN-Tunnelmodus-Konfiguration vor dem Upgrade auf FortiOS 7.6.3 auf IPsec-VPN migrieren.


        Alle FortiGate Modelle mit installiertem FortiOS 3.0
Wenn Du den SSL-VPN-Webmodus verwendest, bleiben Deine bestehenden Konfigurationen nach dem Upgrade erhalten und funktional, da sie als agentenloses VPN betrieben werden.
        Letzte unterstützte Engine Version basiernd auf FortiOS 3.0 - 3.0 MR5:
       
        IPS Engine: 1.097
        AV Engine: 3.010


        Letzte unterstützte Engine Version basiernd auf FortiOS 3.0 MR6:
Es ist entscheidend, dass Du vor dem Upgrade auf FortiOS 7.6.3 die notwendigen Schritte unternimmst, um Deine VPN-Konfiguration anzupassen.  
       
        IPS Engine: 1.129
        AV Engine: 3.010


Fortinet empfiehlt allen Kunden ein Upgrade auf 4.0 oder höher. Diese Ankündigung wurde von FortiGate unter folgendem Customer Support Bulletin herausgegeben '''CSB-140514-1''':
Fortinet hat umfassende Dokumentationen und Leitfäden bereitgestellt, die Dir dabei helfen können, diesen Übergang reibungslos zu gestalten. Stelle sicher, dass Du die Kompatibilität
deiner aktuellen VPN-Lösungen überprüfst und gegebenenfalls die empfohlenen Anpassungen vornimmst.</br>
Zusätzlich bietet FortiOS 7.6.3 eine Reihe von Verbesserungen und neuen Funktionen, die die Leistung und Sicherheit Deines Netzwerks weiter steigern werden.
Das Upgrade auf IPsec-VPN ist nicht nur eine Notwendigkeit, sondern kann auch dazu beitragen, Deine Netzwerkarchitektur zukunftssicher zu gestalten.


      [[Datei:CSB-140514-1_FGD_updates_30_.pdf]]
Falls Du Unterstützung bei der Migration benötigst, steht Dir das ALSO-Team zur Verfügung, um Dich durch den Prozess zu führen und sicherzustellen,
dass alle Deine Anforderungen erfüllt werden.</br>
Durch eine rechtzeitige und sorgfältige Vorbereitung kannst Du sicherstellen, dass der Übergang zu FortiOS 7.6.3 ohne Unterbrechungen oder Komplikationen erfolgt.


=== FortiDDoS upgrading to 4.1.0 ===
'''Betroffene Produkte:'''</br>
Alle FortiGate Modelle


Fortinet hat ein Support Bulletin herausgegeben betreffend FortiDDoS Upgrade auf 4.1.0. In diesem Support Bulletin wird darauf hingewiesen, dass beim einem Upgrade für FortiDDoS 4.1.0 den Release Notes strikte zu folgen ist speziell betreffend Bios Konfiguration. Um den Upgrade Prozess einfach zu gestalten hat Fortinet dieses Upgrade aus dem Downloadbereich entfernt. Kunden die in der Zwischenzeit ein Upgrade betreffend FortiDDoS 4.1.0 durchführen wollen müssen -da das Image über den Downloadbereich nicht mehr zur Verfügung steht- ein Ticket eröffnen. Nach dem eröffnen des Tickets erhält der Kunde Hilfe wie das Upgrade durchzuführen ist sowie das Image für das Upgrade selber. Diese Ankündigung wurde von FortiGate unter folgendem Customer Support Bulletin herausgegeben CSB-140702-1''':
'''Betroffenes FortiOS:'''</br>
FortiOS 7.6.3


      [[Datei:CSB-140702-1_FDD_upgrade.pdf]]
'''Dokumentation Fortinet:'''
* [https://docs.fortinet.com/document/fortigate/7.6.0/new-features/155142/migration-from-ssl-vpntunnel-mode-to-ipsec-vpn-7-6-3 Migration SSL-VPN zu IPsec VPN] <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small>
* [https://docs.fortinet.com/document/fortigate/7.6.3/fortios-release-notes/173430/ssl-vpn-tunnel-modeno-longer-supported ReleaseNotes FortiOS 7.6.3] <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small>
* [https://support.fortinet.com/support/#/bulletin CSB-250416-1] <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small>
'''Dokumentation in diesem Wiki:'''
* [[FortiGate:FAQ#Wie_konfiguriere_ich_ein_Client_to_Site_IPsec_VPN_mit_IKE_Version_2%3F|Wie konfiguriere ich ein Client to Site IPsec VPN mit IKE Version 2?]] <small>''<code>Shift</code> + <code>Linke Maustaste</code>''</small>
----
<small>add 01.05.2025 - 4Tinu</small>
|}

Aktuelle Version vom 22. Juni 2026, 13:07 Uhr

Fortigate:Support-Alerts

Vorwort

Diese Seite informiert über Aktuelle Support Informationen sogenannte "Support Bulletin" von Fortinet!


Datenschutz

        *********************************************************************
        *                                                                   *
        *  THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY  *
        *      PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING,      *
        *    DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM     *
        *                  ALSO SCHWEIZ AG SWITZERLAND.                     *
        *                                                                   *
        *********************************************************************

"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung von der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht 
                         bekannt gemacht werden"

Nuetzliche Links

PSIRT Blog Fortinet:

kann auch als RSS Feed gezogen werden!

Fortinet Security Vulnerability Policy

Häufige Fragen werden hier beantwortet:'

Wenn ich eine Sicherheitslücke in einem Fortinet Produkt finde, kann ich diese über folgendes Formular direkt an Fortinet melden:

Customer Support Bulletin:

kann auch als RSS Feed gezogen werden!


add 28.10.2022 - 4Tinu

Psirt

Wieso soll ich meine Fortigate Systeme immer auf einem aktuellen Software Stand haben?

Beschreibung
Ein Bedrohungsakteur hat eine bekannte Schwachstelle ausgenutzt, um Lesezugriff auf anfällige FortiGate-Geräte zu implementieren. Dies wurde durch das Erstellen eines symbolischen Links erreicht, der das Benutzerdateisystem und das Root-Dateisystem in einem Ordner verbindet, der zum Bereitstellen von Sprachdateien für das ssL-VPN verwendet wird. Diese Änderung fand im Benutzerdateisystem statt und blieb unentdeckt. Daher könnte dieser symbolische Link zurückgeblieben sein, selbst wenn das Kunden-Gerät mit FortiOS-Versionen aktualisiert wurde, die die ursprünglichen Schwachstellen behoben haben, und dem Bedrohungsakteur weiterhin Lesezugriff auf Dateien im Dateisystem des Geräts ermöglichen, zu denen möglicherweise auch Konfigurationen gehören. Wichtig ist, dass der Kunde nicht betroffen ist, wenn ssL-VPN nie aktiviert war. Als Teil einer Untersuchung hat Fortinet Scans durchgeführt, um betroffene Geräte mithilfe interner Telemetrie und in Zusammenarbeit mit Drittorganisationen zu identifizieren. Die Daten zeigen, dass diese Bedrohungsakteur-Aktivität nicht auf eine bestimmte Region oder Branche abzielt.
Abhilfe
Nach der Entdeckung der neuen Technik, die der Bedrohungsakteur oben beschrieben verwendet hat, hat Fortinet Schritte unternommen, um dieses Problem zu mildern und unterschiedliche Ebenen der Cyber-Hygiene und Herausforderungen, denen der Kunde möglicherweise gegenübersteht, auszubalancieren. Zu den Minderungsmassnahmen von Fortinet gehören:

  • Ein AV/IPS-Signatur wurde erstellt, um diesen symbolischen Link auf betroffenen Geräten zu erkennen und zu bereinigen.
  • Änderungen wurden in die neuesten Releases aufgenommen, um den symbolischen Link zu erkennen und zu entfernen und sicherzustellen, dass das ssL-VPN nur die erwarteten Dateien bereitstellt.
  • Proaktive Kommunikation, die Kunden zum Aktualisieren ihrer Geräte auffordert, sorgfältig ausbalanciert, um gegen weitere unbeabsichtigte Kompromittierungen zu schützen, und gleichzeitig unser Engagement für verantwortungsvolle Transparenz erfüllt.

Speziell zu den in diesem Blog beschriebenen Ergebnissen (April 2025) hat Fortinet mehrere FortiOS-Abhilfemassnahmen veröffentlicht, darunter:

  • FortiOS 7.4, 7.2, 7.0, 6.4: Der symbolische Link wurde als bösartig vom AV/IPS-Engine markiert, sodass er automatisch entfernt wird, wenn die Engine lizenziert und aktiviert ist.
  • FortiOS 7.6.2, 7.4.7, 7.2.11 & 7.0.17, 6.4.16: Durch das Upgrade auf diese Version wird der bösartige symbolische Link entfernt.
  • FortiOS 7.6.2, 7.4.7, 7.2.11 & 7.0.17, 6.4.16: Die ssL-VPN-Benutzeroberfläche wurde modifiziert, um das Bereitstellen solcher bösartigen symbolischen Links zu verhindern.

Fortinet hat direkt mit Kunden kommuniziert, die nach den verfügbaren Telemetriedaten als von diesem Problem betroffen identifiziert wurden, und empfehlen ihnen, folgende Schritte zu unternehmen:

  • Alle Geräte auf 7.6.2, 7.4.7, 7.2.11 & 7.0.17 oder 6.4.16 upgraden.
  • Die Konfiguration aller Geräte überprüfen.
  • Alle Konfigurationen als potenziell kompromittiert betrachten und die empfohlenen Schritte unten befolgen, um sich zu erholen:
  • KB-Artikel Fortinet

Muss ich upgraden?
Es ist von entscheidender Bedeutung, dass alle Organisationen ihre Geräte auf dem neuesten Stand halten. Verschiedene Regierungsorganisationen haben berichtet, dass staatlich unterstützte Bedrohungsakteure alle Anbieter, einschliesslich bekannter, aber ungepatchter Schwachstellen, ins Visier nehmen. Im Allgemeinen ist die beste Verteidigung gegen jede bekannte Schwachstelle die Einhaltung guter Cyber-Hygiene-Praktiken, einschliesslich Upgrades. Der 2H 2023 Global Threat Landscape Report von FortiGuard Labs hat herausgefunden, dass Bedrohungsakteure durchschnittlich 4,76 Tage nach der öffentlichen Bekanntgabe einer neuen Schwachstelle eine bekannte Schwachstelle ausnutzen. In diesem Klima haben sowohl Anbieter als auch Kunden eine Rolle zu spielen. Anbieter müssen robuste Sicherheitsprüfungen in allen Phasen des Produktentwicklungslebenszyklus einführen und sich der verantwortungsvollen Transparenz in ihren Schwachstellenmeldungen widmen. Mit mehr als 40.000 aufgezeichneten Schwachstellen im Jahr 2024 basierend auf Daten von NIST ist es auch von entscheidender Bedeutung, dass Kunden ein strenges Patch-Regime einhalten, um das Risiko einer Ausnutzung zu verringern. In Bezug auf diesen Vorfall hat Fortinet direkt mit identifizierten betroffenen Kunden kommuniziert, die auf Basis der verfügbaren Telemetrie Massnahmen ergreifen müssen. Fortinet empfiehlt jedoch allen Kunden, unabhängig davon auf eine dieser empfohlenen Versionen zu upgraden. Fortinet hat auch viele Änderungen integriert, um die Sicherheitsfunktionen weiter zu verbessern, die sich mit den wichtigsten Herausforderungen der Kunden befassen und für Kunden verfügbar sind, die auf die neueste Version aktualisieren, einschliesslich, aber nicht beschränkt auf:

  • Zusätzliche Kompilierungszeit-Härtung, um die Angriffsbarriere auf Produkte zu erhöhen.
  • Virtuelles Patchen, um Probleme vor der Patch-Verarbeitung zu mildern.
  • Implementierung der Firmware-Integritätsvalidierung in Hardware (BIOS).
  • Einführung der Integrity Measurement Architecture (IMA) / Filesystem Integrity.
  • Automatische Updates, um Geräte nahtlos gegen Schwachstellen zu patchen, ohne dass Administratoren eingreifen müssen.

Fortinet ermutigt Kunden weiterhin, die FortiOS-Best-Practice-Ressourcen zu nutzen, einschliesslich Anleitungen zur Systemhärtung sowie Funktionen, die Kunden helfen, den Aktualisierungsprozess zu automatisieren, wie Uninterrupted Cluster Upgrade, Sub-second failover, Fail-over protection, Auto-restore configs / Configuration revisions und Automatic / Scheduled patch upgrades.

Quelle: https://www.fortinet.com/blog/psirt-blogs/analysis-of-threat-actor-activity


add 15.04.2025 - 4Tinu | Microsoft Copilot Copilot-icon.png hat mir geholfen

Vulnerabilities

Vulnerability.svg

Was bedeutet "FortiBleed"?

New.svg


Einleitung:
FortiBleed beschreibt eine gross angelegte Credential-Exposure- und Exploitation-Kampagne gegen internetexponierte Fortinet FortiGate Firewalls und SSL-VPN-Gateways. Laut öffentlicher Berichterstattung wurden über 73'000 eindeutige Fortinet-Firewall-URLs in 194 Ländern mit kompromittierten oder validierten Zugangsdaten in Verbindung gebracht. Die Kampagne zeigt deutlich, dass nicht nur klassische Schwachstellen, sondern auch wiederverwendete, geleakte oder unzureichend geschützte Zugangsdaten ein kritisches Risiko für Perimeter-Systeme darstellen.

Ursache:
Die Ursache von FortiBleed liegt nach aktuellem Kenntnisstand nicht in einer bestätigten einzelnen Zero-Day-Schwachstelle oder einem eindeutig zugeordneten CVE. Vielmehr handelt es sich um eine Kombination aus internetweit erreichbaren Fortinet-Instanzen, historischen Credential-Leaks, Credential-Stuffing, Brute-Force-Aktivitäten und potenziell bereits kompromittierten Zugangsdaten. Angreifer haben automatisiert nach exponierten FortiGate- und SSL-VPN-Systemen gesucht und diese gegen grosse Sammlungen bekannter Benutzernamen und Passwörter getestet. Besonders kritisch ist, dass auch komplexe Passwörter betroffen sein können, wenn sie bereits durch Infostealer-Malware, frühere Datenabflüsse oder unsichere Wiederverwendung in Klartextdatenbanken vorhanden waren. Die eigentliche Schwachstelle ist daher häufig nicht die Passwortlänge, sondern die fehlende Kontrolle über die Herkunft, Wiederverwendung und Absicherung von Credentials auf sicherheitskritischen Edge-Systemen.

Was bedeutet der „Bleed“ bei FortiBleed?
Der Begriff Bleed beschreibt in diesem Kontext das fortlaufende Abfliessen von Zugangsdaten und Authentifizierungsinformationen aus kompromittierten Umgebungen. Sobald Angreifer Zugriff auf ein Fortinet-Gateway erhalten, kann das System als Beobachtungspunkt an der Netzwerkgrenze missbraucht werden. Darüber lassen sich weitere Anmeldeinformationen aus VPN-, Verwaltungs- oder nachgelagerten Netzwerkverbindungen identifizieren, sammeln und erneut für weitere Angriffe verwenden.
Dieser Prozess ist besonders gefährlich, weil er sich selbst verstärken kann: Bereits bekannte Zugangsdaten ermöglichen den ersten Zugriff, der Zugriff ermöglicht die Sammlung weiterer Credentials, und diese neuen Credentials werden anschliessend wieder für zusätzliche Systeme getestet. Dadurch entsteht ein automatisierter Kreislauf, der über eine einzelne Firewall hinausgehen und sich bis in interne Verzeichnisdienste wie Active Directory ausweiten kann.

Impact
Der Impact ist hoch, weil FortiGate-Firewalls und SSL-VPN-Gateways typischerweise direkt am Netzwerkperimeter betrieben werden. Ein erfolgreicher Zugriff kann Angreifern ermöglichen, administrative Schnittstellen zu missbrauchen, VPN-Zugänge zu verwenden, Traffic zu beobachten, zusätzliche Zugangsdaten zu erbeuten und sich lateral in interne Netzwerke zu bewegen. Besonders kritisch ist dies für Organisationen mit exponierten Management-Interfaces, fehlender Multi-Faktor-Authentifizierung oder unzureichender Protokollüberwachung.
Ein weiterer Risikofaktor ist die mögliche Persistenz. Selbst wenn ein Passwort später geändert oder eine bekannte Schwachstelle gepatcht wird, können Angreifer bereits zusätzliche Konten, Tokens, Konfigurationen oder interne Zugangspfade gesammelt haben. Deshalb reicht eine reine Passwortänderung in vielen Fällen nicht aus. Du musst davon ausgehen, dass ein kompromittierter Perimeter-Zugang eine vollständige Incident-Response-Prüfung erfordert.
Empfohlene Massnahmen

  • Prüfe alle internetexponierten FortiGate- und SSL-VPN-Systeme auf verdächtige Login-Versuche, ungewöhnliche Admin-Aktivitäten und unbekannte VPN-Sessions.
  • Erzwinge umgehend eine Rotation aller lokalen, administrativen und VPN-bezogenen Zugangsdaten auf betroffenen oder potenziell exponierten Systemen.
  • Aktiviere Multi-Faktor-Authentifizierung konsequent für VPN-Zugänge, Administrator-Konten und privilegierte Benutzer.
  • Beschränke Management-Zugriffe auf dedizierte Admin-Netze, vertrauenswürdige IP-Adressen oder sichere Out-of-Band-Zugänge.
  • Deaktiviere unnötige öffentliche Verwaltungsoberflächen und stelle sicher, dass nur zwingend benötigte Services aus dem Internet erreichbar sind.
  • Aktualisiere FortiOS, FortiGate- und SSL-VPN-Komponenten auf die vom Hersteller empfohlenen Versionen und prüfe zusätzlich alle relevanten Fortinet Security Advisories.
  • Analysiere FortiGate-Konfigurationen auf unbekannte Admin-Konten, manipulierte Policies, verdächtige VPN-Profile und unautorisierte Änderungen.
  • Überprüfe Active Directory, RADIUS, LDAP und andere angebundene Authentifizierungssysteme auf verdächtige Anmeldeereignisse und laterale Bewegungen.
  • Setze Credential-Hygiene durch: keine Passwortwiederverwendung, regelmässige Überprüfung gegen bekannte Leaks und strikte Trennung von Service-, Admin- und Benutzerkonten.
  • Führe bei Verdacht auf Kompromittierung eine vollständige Incident-Response-Analyse durch, inklusive Log-Sicherung, forensischer Prüfung und Bewertung möglicher Datenexfiltration.

Technische Einschätzung
FortiBleed sollte nicht als isolierter Produktfehler betrachtet werden, sondern als Warnsignal für den Schutz von Edge-Infrastrukturen. Du solltest Fortinet-Systeme am Perimeter wie kritische Identitäts- und Zugriffskomponenten behandeln. Entscheidend sind starke Authentifizierung, eingeschränkte Erreichbarkeit, konsequentes Patching, saubere Credential-Prozesse und ein Monitoring, das nicht nur Schwachstellen, sondern auch missbräuchliche Nutzung gültiger Zugangsdaten erkennt.


add 19.06.2026 - 4Tinu | Microsoft Copilot Copilot-icon.png hat mir geholfen


Vulnerability.svg

OpenSSL - CVE-2025-15467


Problembeschreibung
Das Parsen einer CMS AuthEnvelopedData-Nachricht mit absichtlich manipulierten AEAD-Parametern kann einen Stack-Buffer-Overflow auslösen. Ein Stack-Buffer-Overflow kann zu einem Absturz führen, was wiederum einen Denial-of-Service (DoS) verursacht oder potenziell sogar eine Remotecodeausführung ermöglicht. Beim Parsen von CMS AuthEnvelopedData-Strukturen, die AEAD-Verschlüsselungen wie AES-GCM verwenden, wird der im ASN.1-Parameter kodierte IV (Initialisierungsvektor) in einen Stack-Puffer fester Grösse kopiert, ohne zu überprüfen, ob dessen Länge in das Ziel passt. Ein Angreifer kann eine speziell präparierte CMS-Nachricht mit einem zu grossen IV bereitstellen, was zu einem Stack-basierten Schreibzugriff ausserhalb der vorgesehenen Grenzen führt, noch bevor eine Authentifizierung oder Tag-Prüfung stattfindet. Anwendungen und Dienste, die nicht vertrauenswürdige CMS* oder PKCS#7-Inhalte mit AEAD-Verschlüsselungen (z. B. S/MIME AuthEnvelopedData mit AES-GCM) verarbeiten, sind gefährdet. Da der Overflow vor der Authentifizierung auftritt, ist kein gültiges Schlüsselmaterial erforderlich, um ihn auszulösen. Die Ausnutzbarkeit zur Remotecodeausführung hängt zwar von Plattform* und Toolchain-Schutzmechanismen ab, aber der Stack-basierte Schreibzugriff stellt ein erhebliches Risiko dar. Die FIPS-Module in den Versionen 3.6, 3.5, 3.4, 3.3 und 3.0 sind von diesem Problem nicht betroffen, da die CMS-Implementierung ausserhalb des OpenssL-FIPS-Moduls liegt.

  • OpenssL 3.6, 3.5, 3.4, 3.3 und 3.0 sind jedoch anfällig für dieses Problem.
  • OpenssL 1.1.1 und 1.0.2 sind davon nicht betroffen.

Fortinet PSIRT untersucht derzeit die Auswirkungen dieses CVE auf die Fortinet-Produkte.
betroffen..
Bedrohungslevel:

  • Severity : Critical
  • Die Bedrohung wird mit einem CVssv3 Score von 9.8 eingestuft!

Nicht Betroffene Systeme (Stand 25.03.2026)

  • FortiAP
  • FortiWeb
  • FortiVoice
  • FortiTester
  • FortiSwitch
  • FortiSandbox
  • FortiSOAR
  • FortiSIEM
  • FortiRecorder
  • FortiPortal
  • FortiOS
  • FortiNAC-F
  • FortiNAC
  • FortiManager
  • FortiMail
  • FortiExtender
  • FortiDDoS
  • FortiConverter
  • FortiCloud
  • FortiClient Windows
  • FortiClient MacOS
  • FortiClient Linux
  • FortiAuthenticator
  • FortiAnalyzer
  • FortiAP-W2
  • FortiAP-U
  • FortiClient iOS
  • FortiClient Android
  • FortiClient EMS
  • FortiWebManager
  • FortiADC
  • FortiADC Manager
  • FortiProxy

Weitere Informationen findet man unter folgenden externen Artikeln:
PSIRT FortiGuard:

CVE Informationen

Weitere Referenzen:


edit 25.03.2026 * 4Tinu


Vulnerability.svg

Administrative FortiCloud SSO authentication bypass - FG-IR-26-060

New.svg


Problembeschreibung
Eine Schwachstelle vom Typ „Authentication Bypass Using an Alternate Path or Channel“ [CWE-288] in FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb kann es einem Angreifer mit einem FortiCloud-Konto und einem registrierten Gerät ermöglichen, sich an anderen Geräten anzumelden, die bei anderen Konten registriert sind, sofern auf diesen Geräten die FortiCloud SSO-Authentifizierung aktiviert ist.

Bitte beachte, dass die FortiCloud SSO-Anmeldefunktion in den Werkseinstellungen standardmässig deaktiviert ist. Wenn Du jedoch das Gerät über die Geräteeinstellungen bei FortiCare registrierst, wird FortiCloud SSO für die Anmeldung aktiviert, sofern Du beim Registrierungsprozess die Option Allow administrative login using FortiCloud SSO nicht deaktivierst.

Diese Schwachstelle wurde bereits aktiv ausgenutzt:

  • Zwei böswillige FortiCloud-Konten wurden dabei am 22.01.2026 gesperrt.
  • Um weiteren Missbrauch zu verhindern, hat Fortinet am 26.01.2026 die FortiCloud SSO-Funktion serverseitig deaktiviert.
  • Am 27.01.2026 wurde sie wieder aktiviert, unterstützt jedoch keine Anmeldungen mehr von Geräten mit verwundbaren Versionen.

Du musst daher auf die unten aufgeführten neuesten Versionen aktualisieren, damit FortiCloud SSO weiterhin genutzt werden kann.

  • FortiManager Cloud, FortiAnalyzer Cloud und FortiGate Cloud sind nicht betroffen.
  • Setups mit einem eigenen IdP für SSO statt FortiCloud sind nicht betroffen (einschliesslich Setups mit FortiAuthenticator als Custom IdP).

Bedrohungslevel:

  • Severity : Critical
  • Die Bedrohung wird mit einem CVSSv3 Score von 9.4 eingestuft!

Betroffene Systeme:

FortiAnalyzer

  • FortiAnalyzer 7.6 : 7.6.0 - 7.6.5
  • FortiAnalyzer 7.4 : 7.4.0 - 7.4.9
  • FortiAnalyzer 7.2 : 7.2.0 - 7.2.11
  • FortiAnalyzer 7.0 : 7.0.0 - 7.0.15
  • FortiAnalyzer 6.4 : 6.4.x ist nicht betroffen

FortiManager

  • FortiManager 7.6 : 7.6.0 - 7.6.5
  • FortiManager 7.4 : 7.4.0 - 7.4.9
  • FortiManager 7.2 : 7.2.0 - 7.2.11
  • FortiManager 7.0 : 7.0.0 - 7.0.15
  • FortiManager 6.4 : 6.4.x ist nicht betroffen

FortiGate:

  • FortiOS 8.0 : 8.0.x ist nicht betroffen
  • FortiOS 7.6 : 7.6.0 - 7.6.5
  • FortiOS 7.4 : 7.4.0 - 7.4.10
  • FortiOS 7.2 : 7.2.0 - 7.2.12
  • FortiOS 7.0 : 7.0.0 - 7.0.18
  • FortiOS 6.4 : 6.4.x ist nicht betroffen

FortiProxy:

  • FortiProxy 7.6 : 7.6.0 - 7.6.4
  • FortiProxy 7.4 : 7.4.0 - 7.4.12
  • FortiProxy 7.2 : 7.2.x Alle Versionen
  • FortiProxy 7.0 : 7.0.x Alle Versionen

FortiWeb:

  • FortiWeb 8.0 : 8.0.0 - 8.0.3
  • FortiWeb 7.6 : 7.6.0 - 7.6.6
  • FortiWeb 7.4 : 7.4.0 - 7.6.6
  • FortiWeb 7.2 : 7.2.x ist nicht betroffen
  • FortiWeb 7.0 : 7.0.x ist nicht betroffen

FortiSwitch Manager:

  • Dieses Produkt wird noch untersucht ob es auch betroffen ist.

Lösung:
Auf folgende Versionen upgraden, damit die Sicherheitslücke geschlossen wird.

FortiAnalyzer

  • FortiAnalyzer 7.6 : upgraden auf 7.6.6 Version bald verfügbar - Stand 29.01.2026
  • FortiAnalyzer 7.4 : upgraden auf 7.4.10 oder höher
  • FortiAnalyzer 7.2 : upgraden auf 7.2.12 Version bald verfügbar - Stand 29.01.2026
  • FortiAnalyzer 7.0 : upgraden auf 7.0.16 Version bald verfügbar - Stand 29.01.2026

FortiManager

  • FortiManager 7.6 : upgraden auf 7.6.6 Version bald verfügbar - Stand 29.01.2026
  • FortiManager 7.4 : upgraden auf 7.4.10 oder höher
  • FortiManager 7.2 : upgraden auf 7.2.13 Version bald verfügbar - Stand 29.01.2026
  • FortiManager 7.0 : upgraden auf 7.0.16 Version bald verfügbar - Stand 29.01.2026

FortiGate:

  • FortiOS 7.6 : upgraden auf 7.6.6 oder höher
  • FortiOS 7.4 : upgraden auf 7.4.11 oder höher
  • FortiOS 7.2 : upgraden auf 7.2.13 oder höher
  • FortiOS 7.0 : upgraden auf Version bald verfügbar - Stand 30.01.2026

FortiProxy:

  • FortiProxy 7.6 : upgraden auf 7.6.6 Version bald verfügbar - Stand 29.01.2026
  • FortiProxy 7.4 : upgraden auf 7.4.13 Version bald verfügbar - Stand 29.01.2026
  • FortiProxy 7.2 : upgraden auf 7.2.x migrieren auf eine Supportete Version (7.6.6 oder 7.4.13)
  • FortiProxy 7.0 : upgraden auf 7.0.x migrieren auf eine Supportete Version (7.6.6 oder 7.4.13)

FortiWeb:

  • FortiWeb 8.0 : upgraden auf 8.0.4 Version bald verfügbar - Stand 29.01.2026
  • FortiWeb 7.6 : upgraden auf 7.6.7 Version bald verfügbar - Stand 29.01.2026
  • FortiWeb 7.4 : upgraden auf 7.4.12 Version bald verfügbar - Stand 29.01.2026

Weitere Massnahmen und Workaround:

Die FortiCloud SSO-Authentifizierung unterstützt keine Anmeldungen mehr von Geräten mit verwundbaren Versionen.
Daher ist es derzeit nicht notwendig, die FortiCloud SSO-Anmeldung auf der Client-Seite zu deaktivieren.
Zur Referenz kann dies dennoch wie folgt durchgeführt werden:

Bei FortiOS und FortiProxy:

Config webgui.png Konfiguration über das WebGui:

Zum Deaktivieren der FortiCloud-Login-Funktion navigierst Du zu:

System Settings Allow administrative login using FortiCloud SSO Option deaktivieren.

Fortinet-3546.jpg
Config cli.png Konfiguration über die CLI:
 
config system global
set admin-forticloud-sso-login disable
end

Beim FortiManager oder FortiAnalyzer:

Config webgui.png Konfiguration über das WebGui:

Zum Deaktivieren der FortiCloud-Login-Funktion navigierst Du zu:

System Settings SAML SSO Allow admins to login with FortiCloud Option deaktivieren.

Fortinet-3550.jpg
Config cli.png Konfiguration über die CLI:
 
config system saml
set forticloud-sso disable
end

Idicators of Compromise
SSO-Login-Benutzerkonten:

Der Angreifer wurde dabei beobachtet, sich mit den folgenden Benutzerkonten anzumelden:

  • cloud-noc@mail.io
  • cloud-init@mail.io

Fortinet geht davon aus, dass sich diese Adressen in Zukunft ändern könnten, da Massnahmen ergriffen wurden, um diese Konten zu neutralisieren.
IP-Adressen:

Der Angreifer wurde beobachtet, wie er sich über mehrere IP-Adressen angemeldet hat und offenbar auf durch Cloudflare geschützte IPs gewechselt ist:

  • 104.28.244.115
  • 104.28.212.114
  • 104.28.212.115
  • 104.28.195.105
  • 104.28.195.106
  • 104.28.227.106
  • 104.28.227.105
  • 104.28.244.114

Adressen die nicht von Fortinet sondern von Drittpersonen beobachtet wurden:

  • 37[.]1.209.19
  • 217[.]119.139.50

Bösartige Erstellung lokaler Konten:

Nach der Authentifizierung via SSO wurde beobachtet, dass der Angreifer ein lokales Administratorkonto mit einem der folgenden Namen erstellt.
Diese Namen haben sich im Verlauf der Analyse geändert. Daher empfiehlt Fortinet, alle Administratorkonten zu überprüfen, um unerwartete Einträge zu identifizieren:

  • audit
  • backup
  • itadmin
  • secadmin
  • support
  • backupadmin
  • deploy
  • itadmin
  • remoteadmin
  • security
  • svcadmin
  • system
Hinweis.svg

In diesem Wiki Artikel wird erklärt, wie man eine Email bekommt, wenn eine Konfigurationsänderung vorgenommen wird.

Hauptoperationen des Angreifers:

  • Herunterladen der Kunden-Konfigurationsdatei
  • Hinzufügen eines Administratorkontos zur Erhaltung des Zugriffs (Persistenz)

Weitere Informationen findet man unter folgenden externen Artikeln:
PSIRT - FortiGuard:

CVE Informationen

Heise.de:


edit 30.01.2026 - 4Tinu


Vulnerability.svg

Heap-based buffer overflow in cw_acd daemon - FG-IR-25-084


Problembeschreibung Eine heap-basierte Pufferüberlauf-Schwachstelle [CWE-122] in FortiOS und FortiSwitchManager cw_acd Daemon kann es einem remoten, nicht authentifizierten Angreifer ermöglichen, beliebigen Code oder Befehle über speziell erstellte Anfragen auszuführen.

Das Vorhandensein von Sicherheitskontrollen wie ASLR und PIE erhöht die Komplexität und den Vorbereitungsaufwand für die Ausnutzung erheblich.

Bedrohungslevel:

  • Severity : High
  • Die Bedrohung wird mit einem CVSSv3 Score von 7.4 eingestuft!

Betroffene Systeme:

FortiGate:

  • FortiOS 7.6.0 - 7.6.3
  • FortiOS 7.4.0 - 7.4.8
  • FortiOS 7.2.0 - 7.2.11
  • FortiOS 7.0.0 - 7.0.17
  • FortiOS 6.4.0 - 6.4.16

FortiSwitchManager:/

  • FortiSwitchManager 7.2.0 bis 7.2.6
  • FortiSwitchManager 7.0.0 bis 7.0.5

Lösung:
Auf folgende Versionen upgraden, damit die Sicherheitslücke geschlossen wird.

FortiGate:

  • FortiOS 7.6.4 oder höher
  • FortiOS 7.4.9 oder höher
  • FortiOS 7.2.12 oder höher
  • FortiOS 7.0.18 oder höher
  • FortiOS 6.4.17 (wird folgen)

FortiSwitchManager:/

  • FortiSwitchManager 7.2.7 oder höher
  • FortiSwitchManager 7.0.6 oder höher

Weitere Massnahmen und Workaround: Bei jedem Interface den fabric Zugriff entfehrnen.

Beispiel Konfiguration:

Ausgangslage:

config system interface
edit "port1"
set allowaccess fabric ssh https
next
end

ändern zu:

config system interface
edit "port1"
set allowaccess ssh https
next
end

eine Weitere Massnahme ist es den zum CAPWAP Daemon verweigern.

Für jedes interface mit dem fabric service, mit einer Localin Policy die CAPWAP-CONTROL Ports (udp 5246 - 5249) blockieren.

Beispiel:

config firewall service custom
edit "CAPWAP-CONTROL"
set udp-portrange 5246-5249
next
end
config firewall addrgrp
edit "CAPWAP_DEVICES_IPs"
set member "my_allowed_addresses" <-- IP adressen welche erlaubt sind
end
config firewall local-in-policy
edit 1 <-- Regel welche den Zugriff erlaubt.
set intf "port1" <-- Interfaces bei welchem fabric aktiviert ist
set srcaddr "CAPWAP_DEVICES_IPs"
set dstaddr "all"
set service "CAPWAP-CONTROL"
set schedule "always"
set action accept
next
edit 2 <-- Regel welche alle anderen Interfaces blockiert mit dem 
set intf "any"
set srcaddr "all'
set dstaddr "all"
set service "CAPWAP-CONTROL"
set schedule "always"
set action deny
next
end

Weitere Informationen findet man unter folgenden externen Artikeln:
PSIRT - FortiGuard:

CVE Informationen


add 21.01.2026 - 4Tinu


Vulnerability.svg

Multiple Fortinet Products FortiCloud SSO Login Authentication Bypass - CVE-2025-59718 und CVE-2025-59719

New.svg


Problembeschreibung

Eine Schwachstelle aufgrund unzureichender Verifizierung kryptographischer Signaturen (CWE-347) in FortiOS, FortiWeb, FortiProxy und FortiSwitchManager kann es einem nicht authentifizierten Angreifer ermöglichen, die FortiCloud-SSO-Login-Authentifizierung durch eine manipulierte SAML-Nachricht zu umgehen, sofern diese Funktion auf Deinem Gerät aktiviert ist.

Bedrohungslevel:

  • Severity : Critical
  • Die Bedrohung wird mit einem CVSSv3 Score von 9.1 eingestuft!

Betroffene Systeme:

FortiGate:

  • FortiOS 7.6.0 - 7.6.4
  • FortiOS 7.4.0 - 7.4.8
  • FortiOS 7.2.0 - 7.2.11
  • FortiOS 7.0.0 - 7.0.17
  • FortiOS 6.4.x ist nicht betroffen

FortiProxy:

  • FortiProxy 7.6.0 bis 7.6.3
  • FortiProxy 7.4.0 bis 7.4.10
  • FortiProxy 7.2.0 bis 7.2.14
  • FortiProxy 7.0.0 bis 7.0.21

FortiWeb:

  • FortiWeb 8.0.0
  • FortiWeb 7.6.0 bis 7.6.4
  • FortiWeb 7.4.0 bis 7.4.9
  • FortiWeb 7.2.x ist nicht betroffen
  • FortiWeb 7.0.x ist nicht betroffen

FortiSwitchManager:/

  • FortiSwitchManager 7.2.0 bis 7.2.6
  • FortiSwitchManager 7.0.0 bis 7.0.5

Lösung:
Auf folgende Versionen upgraden, damit die Sicherheitslücke geschlossen wird.

FortiGate:

  • FortiOS 7.6.4 oder höher
  • FortiOS 7.4.9 oder höher
  • FortiOS 7.2.12 oder höher
  • FortiOS 7.0.18 oder höher

FortiProxy:

  • FortiProxy 7.6.4 oder höher
  • FortiProxy 7.4.11 oder höher
  • FortiProxy 7.2.15 oder höher
  • FortiProxy 7.0.22 oder höher

FortiWeb:

  • FortiWeb 8.0.1 oder höher
  • FortiWeb 7.6.5 oder höher
  • FortiWeb 7.4.10 oder höher

FortiSwitchManager:/

  • FortiSwitchManager 7.2.7 oder höher
  • FortiSwitchManager 7.0.6 oder höher

Weitere Massnahmen und Workaround:

Um zu verhindern, dass betroffene Versionen durch diese Schwachstelle ausgenutzt werden, solltest Du die FortiCloud-Login-Funktion (falls aktiviert) vorübergehend deaktivieren, bis ein Upgrade auf eine nicht betroffene Version durchgeführt wurde.

Config webgui.png Konfiguration über das WebGui:

Zum Deaktivieren der FortiCloud-Login-Funktion navigierst Du zu:

System Settings Allow administrative login using FortiCloud SSO Option deaktivieren.

Fortinet-3546.jpg
Config cli.png Konfiguration über die CLI:
 
config system global
set admin-forticloud-sso-login disable
end
Wichtig.svg

Beachte, die FortiCloud-SSO-Login-Funktion ist per Default deaktiviert. Registrierst Du jedoch ein Gerät über die GUI bei FortiCare, wird FortiCloud SSO nach der Registrierung automatisch aktiviert.


Weitere Informationen findet man unter folgenden externen Artikeln:
PSIRT - FortiGuard:

CVE Informationen

NIST:


add 10.12.2025 - 4Tinu


Vulnerability.svg

FortiWeb - Path confusion vulnerability in GUI - CVE-2025-64446


Problembeschreibung:
Eine Schwachstelle zur Pfadmanipulation durch relative Pfadangaben (CWE-23) in FortiWeb kann einem nicht authentifizierten Angreifer ermöglichen, administrative Befehle auf dem System auszuführen, indem er speziell präparierte HTTP- oder HTTPS-Anfragen sendet.

Bedrohungslevel:

  • Severity Critical
  • Die Bedrohung wird mit einem CVSSv3 Score von 9.4 eingestuft!

Betroffene Systeme:

  • FortiWeb 8.0 OS Version 8.0.0 bis 8.0.1
  • FortiWeb 7.6 OS Version 7.6.0 bis 7.6.4
  • FortiWeb 7.4 OS Version 7.4.0 bis 7.4.9
  • FortiWeb 7.2 OS Version 7.2.0 bis 7.2.11
  • FortiWeb 7.0 OS Version 7.0.0 bis 7.0.11

Wenn das HTTP/HTTPS-Managementinterface gemäss Best Practices nur intern zugänglich ist, ist das Risiko einer Kompromittierung deutlich reduziert.

Lösung:
Auf folgende Versionen kann upgedatet werden, damit diese Sicherheitslücke geschlossen wird:

  • FortiWeb 8.0 upgraden auf 8.0.2 oder höher
  • FortiWeb 7.6 upgraden auf 7.6.5 oder höher
  • FortiWeb 7.4 upgraden auf 7.4.10 oder höher
  • FortiWeb 7.2 upgraden auf 7.2.12 oder höher
  • FortiWeb 7.0 upgraden auf 7.0.12 oder höher

Weitere Massnahmen und Workaround:

  • Bei den externen Management Interfaces HTTP und HTTPS Management Dienst deaktivieren.
  • Zugriff auf bekannte und vertrauenswürdige Sourcen limitieren
  • Es wird empfohlen, dass Du Deine Konfiguration überprüfst und die Logs auf unerwartete Änderungen oder das

Anlegen nicht autorisierter Administratorkonten kontrollierst. Indicators of Compromise (Stand 18.11.2025)
Bekannte Angreifer IP Adressen:

 107.152.41.19
 144.31.1.63
 89.169.55.168
 185.192.70.33
 185.192.70.53
 185.192.70.43
 185.192.70.25
 185.192.70.36
 185.192.70.49
 185.192.70.39 
 185.192.70.57
 185.192.70.50 
 185.192.70.46 
 185.192.70.31 
 64.95.13.8 

Siehe: Integrity360 Shift + Linke Maustaste

Die Angreifer haben folgende Zugangsdaten verwendet:

 Testpoint - AFodIUU3Sszp5 
 trader1 - 3eMIXX43
 trader - 3eMIXX43
 test1234point - AFT3$tH4ck
 Testpoint - AFT3$tH4ck
 Testpoint - AFT3$tH4ckmet0d4yaga!n

Siehe: Hacker News Shift + Linke Maustaste


Weitere Informationen findet man unter folgenden externen Artikeln:
PSIRT - FortiGuard:

CVE Informationen

Articwolf:

BSI - Deutschland:

The Hacker News:


edit 10.12.2025 - 4Tinu


Vulnerability.svg

Authentication bypass in Node.js websocket module - CVE-2024-55591


Problembeschreibung:
Eine gezielte Kampagne auf Fortinet FortiGate-Firewalls mit exponierten(externe) Managementinterfaces wurde identifiziert.
Bedrohungsakteure erlangten unbefugten administrativen Zugriff, indem sie neue Benutzerkonten erstellten, SSL-VPN-Zugriffe konfigurierten und laterale Bewegungen innerhalb des Netzwerks durchführten. Der initiale Zugriffspfad ist bislang nicht bestätigt; es wird jedoch eine Zero-Day-Schwachstelle vermutet.

Auswirkung:
Eine erfolgreiche Ausnutzung ermöglicht unautorisierte Konfigurationsänderungen, einschliesslich der Erstellung von gefälschten Administratorkonten und SSL-VPN-Zugängen, was potenziell zur vollständigen Kompromittierung des Systems führen kann.

Bedrohungslevel:

  • Severity Critical
  • Die Bedrohung wird mit einem CVSSv3 Score von 9.6 eingestuft!

Betroffene Systeme:

  • FortiGate mit FortiOS 7.0.0 - 7.0.16
  • FortiProxy mit ProxyOS 7.2.0 - 7.2.12
  • FortiProxy mit ProxyOS 7.0.0 - 7.0.19

Folgende FortiOS Versionen sind nicht betroffen:

  • FortiOS 7.2.x
  • FortiOS 7.4.x
  • FortiOS 7.6.x

Lösung:
Auf folgende Versionen kann upgedatet werden, damit diese Sicherheitslücke geschlossen wird:

  • Upgraden der FortiGate auf die Version 7.0.17 oder höher ⇒ (Das FortiOS 7.0.17 wurde am 14.1.2025 ausgerollt.)
  • Upgraden vom FortiProxy auf die Version 7.2.13 oder höher
  • Upgraden vom FortiProxy auf die Version 7.0.20 oder höher

Weitere Massnahmen und Workaround:


Weitere Informationen findet man unter folgenden externen Artikeln:
PSIRT - FortiGuard:

CVE Informationen

Articwolf:

BSI - Deutschland:


edit 15.01.2025 - 4Tinu


Vulnerability.svg

FortiManager Missing authentication in fgfmsd - CVE-2024-47575


Problembeschreibung:
Eine fehlende Authentifizierung für eine kritische Funktion [CWE-306] im FortiManager fgfmd Daemon kann es einem entfernten, nicht authentifizierten Angreifer mit einem gültigen Fortinet-Zertifikat, das von einem Fortinet-Gerät oder einer VM extrahiert wurde, ermöglichen, beliebigen Code oder Befehle über speziell gestaltete Anfragen auszuführen.
Auswirkung:
Unautorisierte Ausführung von Code oder Befehlen
Details:
Ein entfernter, nicht authentifizierter Angreifer kann Berechtigungen umgehen und unautorisierte Befehle ausführen, was den Download von FortiManager-Konfigurationen ermöglichen kann, einschliesslich derjenigen der verwalteten FortiGate-Geräte.

FG-IR: FG-IR-24-423
Bedrohungslevel:

  • Severity Critical
  • Die Bedrohung wird mit einem CVSSv3 Score von 9.8 eingestuft!

Betroffene Systeme:

  • FortiManager 7.6.0 und älter
  • FortiManager 7.4.0 bis 7.4.4
  • FortiManager 7.2.0 bis 7.2.7
  • FortiManager 7.0.0 bis 7.0.12
  • FortiManager 6.4.0 bis 6.4.14
  • FortiManager 6.2.0 bis 6.2.12
  • FortiManager Cloud 7.6 ist nicht betroffen
  • FortiManager Cloud 7.4.1 bis 7.4.4
  • FortiManager Cloud 7.2.1 bis 7.2.7
  • FortiManager Cloud 7.0.1 bis 7.0.12
  • FortiManager Cloud 6.4 sind alle Versionen betroffen

Lösung:
Auf folgende Versionen kann upgedatet werden, damit diese Sicherheitslücke geschlossen wird:

  • Upgraden auf die FortiManager Cloud Version 7.4 upgraden auf die Version 7.4.5 oder höher
  • Upgraden auf die FortiManager Cloud Version 7.2 upgraden auf die Version 7.2.5 oder höher
  • Upgraden auf die FortiManager Cloud Version 7.0 upgraden auf die Version 7.0.5 oder höher
  • Upgraden auf die FortiManager Cloud Version 6.4 auf eine höhere GA Version upgraden/migrieren

Die alten FortiAnalyzer-Modelle

  • 1000E
  • 1000F
  • 2000E
  • 3000E
  • 3000F
  • 3000G
  • 3500E
  • 3500F
  • 3500G
  • 3700F
  • 3700G
  • 3900E

mit der folgenden aktivierten Funktion (FortiManager auf FortiAnalyzer):

Config cli.png Konfiguration über die CLI:
 
config system global  
set fmg-status enable  
end

Ebenfalls ist mindestens ein Interface mit aktiviertem fgfm-Dienst von dieser Sicherheitslücke betroffen.

Workarounds:

Massnahme 1:
Auf dem FortiManager der Versionen <=7.0.12, <=7.2.5 oder <=7.4.3 (ausser 7.6.0) kann mit folgender Konfiguration verhindert werden, dass unbekannte Geräte sich versuchen zu registrieren:

Config cli.png Konfiguration über die CLI:
 
config system global
    set fgfm-deny-unknown enable
end
Wichtig.svg

Wenn du diese Einstellung aktivierst, verhindert FortiManager, dass sich ein FortiGate-Gerät registriert, falls dessen Seriennummer nicht in der Geräteliste hinterlegt ist, selbst wenn das Modellgerät und der vorab geteilte Schlüssel (PSK) übereinstimmen.

Massnahme 2:
Für alle FortiManager ab der Version 7.2.0 kannst du Abhilfemassnahmen ergreifen, indem du lokale Firewallregeln (Local-In-Regeln) erstellst. Damit kannst du die IP-Adressen der FortiGate-Geräte, welche eine Verbindung herstellen dürfen, auf eine Freigabeliste zu setzen.

Alternativ kannst du dies auch über einer externen Firewall welche vor dem FortiManager platziert ist, im Regelset konfigurieren.

Um eine lokale Firewallregel auf dem FortiManager zu konfigurieren, die Verbindungen von einem bekannten Subnetz, z. B. 198.18.250.0/24 (Verwaltungsnetzwerk), sowie der spezifischen IP-Adresse 10.250.17.2 (FortiGate-Gerät) zulässt, verwende folgende Regeln:

Config cli.png Konfiguration über die CLI:
 
config system local-in-policy
    edit 1
        set action accept
        set src 198.18.250.0/24
        set dport 443  <--- WebGui Adminport
    next
    edit 2
        set action accept
        set src 198.18.250.0/24
        set dport 22   <--- SSH Adminport
        next
    edit 3
        set action accept
        set src 10.250.17.2/32
        set dport 541  <--- Erlaube nur TCP/541 von bekannten FortiGate-IP-Adressen.
       next
    edit 4
       next
end
Info.svg

Es ist wichtig zu beachten, dass die Regel 4 im Beispiel alle Einstellungen auf "Standard" hat.
Dadurch wird diese zu einer expliziten Drop-Regel, die den Zugriff von allen anderen IP-Adressen blockiert.

Weitere Informationen betreffend Local-In-Regeln auf dem FortiManager findet man im CLI Guide:

Massnahme 3:
Für Versionen 7.2.2 und höher, 7.4.0 und höher, 7.6.0 und höher ist es auch möglich, ein benutzerdefiniertes Zertifikat zu verwenden, um die Sicherheitslücke zu beheben:

Config cli.png Konfiguration über die CLI:
 
config system global
set fgfm-ca-cert <Zertifikat>
set fgfm-cert-exclusive enable
end
  • Installiere dieses Zertifikat auf den FortiGate-Geräten.
  • Nur dieses CA-Zertifikat wird akzeptiert.
  • Dies bietet einen zusätzlichen Schutz, sofern der Angreifer kein Zertifikat erhält, das von dieser CA signiert wurde.
Info.svg

Für FortiManager-Versionen 6.2, 6.4 und 7.0.11 und darunter, führe bitte ein Upgrade auf eine der oben genannten Versionen durch und wende die entsprechenden Workarounds an.


Weitere Informationen findet man unter folgenden externen Artikeln:
PSIRT - FortiGuard:

Informationen CVE-2024-47575

Informationen auf Heise.de:

Google:


add 14.10.2024 - 4Tinu

Vulnerability.svg

Sicherheitsluecke Heap buffer overflow in sslvpn pre-authentication - CVE-2023-27997

New.svg


Problembeschreibung:
Eine neue kritische Sicherheitslücke, die derzeit noch nicht öffentlich bekannt ist, betrifft Fortinets Fortigate-Firewalls, genauer gesagt die SSL-VPN-Funktionen.

Die Sicherheitslücke ermöglicht es auf allen FortiGate mit aktivem SSL-VPN sich ohne Authentifizierung diese Schwachstelle auszunutzen.

Bedrohungslevel:
Der Schweregrad der Sicherheitslücke wird mit 9.3 !! eingestuft

Betroffene Systeme:
FortiOS Versionen:

  • FortiOS Version 7.2.0 bis 7.2.4
  • FortiOS Version 7.0.0 bis 7.0.11
  • FortiOS Version 6.4.0 bis 6.4.12
  • FortiOS Version 6.0.0 bis 6.0.16
  • Das FortiOS 7.4.0 ist nicht betroffen.

FortiProxy Versionen:

  • FortiProxy Version 7.2.0 bis 7.2.3
  • FortiProxy Version 7.0.0 bis 7.0.9
  • FortiProxy Version 2.0.0 bis 2.0.12
  • FortiProxy 1.2 alle Versionen
  • FortiProxy 1.1 alle Versionen

FortiOS-6K7K Versionen:

  • FortiOS-6K7K Version 7.0.10
  • FortiOS-6K7K Version 7.0.5
  • FortiOS-6K7K Version 6.4.12
  • FortiOS-6K7K Version 6.4.10
  • FortiOS-6K7K Version 6.4.8
  • FortiOS-6K7K Version 6.4.6
  • FortiOS-6K7K Version 6.4.2
  • FortiOS-6K7K Version 6.2.9 bis 6.2.13
  • FortiOS-6K7K Version 6.2.6 bis 6.2.7
  • FortiOS-6K7K Version 6.2.4
  • FortiOS-6K7K Version 6.0.12 bis 6.0.16
  • FortiOS-6K7K Version 6.0.10

Liste wurde von hier entnommen:

Workaround:
Das SSL-VPN auf der FortiGate deaktivieren, bis das Gerät auf einer der unter Lösung aufgeführten FortiOS Versionen, upgedatet werden kann.

Lösung:
Um die Sicherheitslücke im betroffenen FortiOS zu schliessen auf einer der folgenden FortiOS Versionen updaten. FortiOS

FortiProxy

FortiOS-6K7K

Weitere empfohlene Massnahmen:
Neben der Überwachung von Sicherheitshinweisen und dem sofortigen Patchen von Systemen empfiehlt Fortinet dringend Folgendes:


Weitere Informationen findet man unter folgenden externen Artikeln:
Heise DE:

PSIRT - FortiGuard:

CVE:


edit 22.05.2025 - 4Tinu

Support Alert

Was ist die Fortinet Support Bulletin Anouncing Page?

Fortinet Support Bulletin Announcing Page ist eine Seite in der Fortinet von Zeit zu Zeit wichtige Informationen zu BugFixes, Critical Bugs im Zusmmenhang mit dem Support der Fortinet Produkte lanciert:

Support Alert Meldungen

Hier findet man die Support Alert Meldungen welche wir noch ein wenig mit Hintergrund Informationen versuchen zu ergänzen:

Achtung.svg

FortiOS 7.0.4 Proxy-Modus Applikations Kontrolle - CSB-220207-1


Beschreibung:
Beim FortiOS 7.0.4 gibt ein potenzielles Problem mit Applikationscontroll Profile welche im Proxymodus verwendet werden. Dabei werden SSL-insertifizierte Session vorzeitig geschlossen, was zu einem Unterbruch des Datentraffics führt. Das Verhalten wird möglicherweise nicht sofort nach dem Upgrade auf 7.0.4 sichtbar sein.

Profile im Flow Modus sind davon nicht betroffen:

Betroffene Produkte:

  • FortiGate

Betroffene Betriebsysteme

  • FortiOS 7.0.4

Workaround im 7.0.4:

  • Anstatt Proxy basierte Profile momentan Flow basierte Profile benutzen.
  • Wenn das Problem auftritt, kann vorübergehend das starten des Wad-Proxy helfen:
  • diag test application wad 99
Config cli.png Konfiguration über die CLI:
diagnose test application wad 99

Lösung:
Im FortiOS 7.0.5 ist dieses Problem behoben. Daher empfehlen wir von 7.0.4 auf 7.0.5 upzugraden


Quelle:
https://support.fortinet.com/Information/Bulletin.aspx Bulletin CSB 220207-1 vom 9.2.2022

Achtung.svg

Zugriff auf Websites mit SSL-Überprüfung blockiert


Es scheint ein anhaltendes Problem mit der Zertifikatskette einer Stammzertifizierungsstelle (ISRG Root X1) zu geben. Dieses Problem betrifft alle Anbieter von SSL-Inspektionsprodukten, unabhängig davon Full-Inspektion oder Zertifikats Inspektion verwendet wird.

Achtung.svg

Dieser Issue wird mit den folgenden FortiOS Releases behoben:

  • FortiOS 6.2.10
  • FortiOS 6.4.8
  • Im FortiOS 7.0.3 ist der Bug leider immer noch enthalten.

Genaueres findet man in den Release Notes der entsprechenden Versionen unter Know Issues und Resolved Issues


Es besteht folgender Workaround (Stand 05.10.21):


Das Certificate Bundle (Version 1.28), welches die Expired Certificates ersetzt, ist neu auf FortiGuard erhältlich, und wird im Rahmen geplanter FortiGuard-Updates automatisch heruntergeladen.

Um dies zu valideren, ist folgender CLI-Befehl zu verwenden:

Config cli.png Konfiguration über die CLI
# diagnose autoupdate versions | grep -A5 '^Cert'

Certificate Bundle
---------
Version: 1.00028


Um das Certificate Bundle manuell upzudaten, ist folgender CLI-Befehl zu verwenden:

Config cli.png Konfiguration über die CLI
# execute update-now


Sobald das Certificate Bundle upgedatet wird, ist der Workaround anwendbar. Um sicherzustellen, dass das Expired Root CA nicht mehr verwendet wird, ist DNS Blackholing notwendig, welches FortiGate den Zugang zu apps.identrust.com blockiert.

Folgend ein Beispiel einer möglichen Konfiguration:

Config cli.png Konfiguration über die CLI
config system dns-database
edit "1"
set domain "identrust.com"
set authoritative disable
config dns-entry
edit 1
set hostname "apps"
set ip 127.0.0.1
next
end
next
end

*Hinweis: Sobald apps.identrust.com keine Expired CA Certificates mehr sendet, kann die Konfiguration entfernt werden
*Hinweis: Mittels Teil-Befehl "set authoritative disable" werden andere FQDNs (z.B. commercial.ocsp.identrust.com) weiterhin resolved


Sobald das oben-erwähnte DNS Blackholing aktiviert wird, können folgende (vorher getätigte) Änderungen wieder rückgängig gemacht werden:

1) Von Proxy zu Flow Inspection

2) Zwischenzeitliches Erlauben von Expired Certificates


Mehr Details zu den oberen Schritte findet man unter folgendem Link:

https://kb.fortinet.com/kb/documentLink.do?externalID=FD53305 -> "Technical Tip: Expiring Let’s Encrypt Certificates"


Wichtig: Falls das Problem weiterhin auftaucht, muss eventuell noch der IPS und WAD Cache gelehrt werden (siehe Details im oben-erwähnten KB-Artikel/Link)


Weitere, generelle Informationen findet man unter folgendem Link:

https://www.fortinet.com/blog/psirt-blogs/fortinet-and-expiring-lets-encrypt-certificates

Danke an Stefanie vom TAC Frankfurt, welche uns diese Information zugestellt hat
Achtung.svg

FortiAP Wireless Access Point upgrade Issue with HPE PoE Switches - CSB-210127-1


Wenn der Power over Ethernet (PoE)-Switch der Marke Hewlett Packard Enterprise (HPE) während eines Upgrades für mehr als 120 Sekunden keine LLDP-Antwort (Link Layer Discovery Protocol) empfängt, kann er die angeschlossenen FortiAP-Einheiten einseitig zurücksetzen oder ausschalten. Dies kann zum Anhalten des Upgrades auf halbem Weg abbricht und somit zu einem Upgrade-Fehler führen kann. Dieses Problem kann auftreten, wenn ein Upgrade versucht wird von einer beliebigen Software-Version 6.4.2 oder früher. Wenn die FortiAP-Einheit nicht mehr reagiert, wenden Sie sich bitte an den Technischen Support von Fortinet.


Es kann ein Problem geben, wenn man einen FortiAP an einem POE-Switch von Hewlett Packard Enterprise (HPE) angeschlossen hat und den FortiAP upgraden will. Das Problem zeigt sich, wenn der FortiAP welcher am upgraden ist, für mehr als 120 Sekunden keine LLPD Antwort ((Link Layer Discovery Protocol)) empfängt. Der FortiAP kann sich einseitig zurück setzen oder wird ausgeschalten. Dies kann zum stop oder Unterbruch des Upgrades führen und generiert so einen Upgrade Fehler. Dieses Problem kann auftreten wenn ein FortiAP von einer x-beliebigen Software bis 6.4.2 einen upgrade durchführt.

Falls dieses Problem auftritt und der FortiAP nicht mehr reagiert, kann man sich an den TAC Support von Fortinet wenden. (Ticket mit der Serienummer des betroffenen FortiAP eröffnen.

Betroffene Produkte:

  • Alle FortiAP Modelle der Serie E
  • FortiAP 431F und 433F

Betroffene OS Versionen:

  • FortiAP-W2 : 6.0 , 6.2, 6.4.0-6.4.2 (Für die E- Serie)
  • FortiAP : 6.4 buld 5760 (für F-Serie 431F und 433F)

Workaround Auf den HPE PoE-Switches müssen zuerst die LLDP-Funktion den Ports deaktivieren, auf welchem die FortiAP angeschlossen sind, welche upgegradet werden sollen.

Alternativ kann man auch global die LLPD Funktion deaktivieren.

gesamten Switch.


Konfiguration auf dem HPE Switch:

Konfiguration über CLI
lldp admin-status <PORT-LIST> txonly | rxonly | tx_rx | disable

lldp admin-status <POE Port an welchem der FortiAP angeschlossen ist> disable

Referenz: https://techhub.hpe.com/eginfolib/networking/docs/switches/K-KA-KB/15-18/5998-8160_ssw_mcg/content/ch06s12.html

Lösung

Fortinet löst dieses Problem für FortiAP der Serie E im FortiOS FortiAP-W2 6.4.3 Build 0451
Für die FortiAP 431F und 433F wird es im FortiAP 6.4.3 Build 0155 behoben.

Nachdem alle betroffenen FortiAPs erfolgreich auf die Firmware Version 6.4.3 oder höher aktualisiert wurden, kann die LLDP-Funktion auf den Switches wieder aktiviert werden.

Customer Support Bulletin CSB-210127-1 vom 27.Januar 2021


Achtung.svg

FortiGuard Webserver nicht erreichbar


Problem Beschreibung:

Wir haben viele Meldungen bekommen, dass wen auf FortiOS 6.4 upgegradet wird, es Probleme gibt die Webfilter Server der FortiGuard zu erreichen. Dadurch werden in den Firewall Regeln, welche einen Webfilter oder DNS Filter aktiv haben, diverse Anfragen verworfen. Dies liegt daran, dass die Anfrage einer Webseite welche Kategorie diese hat die FortiGuard Server keine Antwort senden und so diese Anfrage als unrated eingestuft wird. Je nach dem wie man jetzt den Webfilter/DNS-Filter konfiguriert hat, wird die Aktion ausgeführt, welche bei unrated konfiguriert wurde:

Fortinet-2857.jpg

Wenn man auf FortiOS 6.4 upgradet wird der Kommunikationsport von der FortiGuard von udp8888 oder udp53 auf tcp443 geändert.

Fortinet-2856.jpg

Diesen Port kann man im Webgui nicht mehr anpassen und muss über die CLI zurück auf udp 8888 oder udp 53 gesetzt werden.

Workaround

config system fortiguard
set fortiguard-anycast disable
set protocol udp
set port 8888
end

In gewissen Situationen musste die FortiGate neu gestartet werden, dass der Effekt eintraf.

Fortinet-2858.jpg
Achtung.png

Es ist darauf zu achten, dass bei einer allfälligen Perimeter Firewall ausgehend der Port UDP-8888 freigeschalten werden muss.


Fortinet ist dieses Problem bekannt und es wird daran gearbeitet eine Lösung zu finden.
Stand 3.11.2020

Achtung.svg

FortiOS 7.6.3 SSL-VPN to IPsec VPN Migration - CSB-250416-1


Beschreibung:
Mit der Einführung und Veröffentlichung von FortiOS 7.6.3 hat Fortinet die Unterstützung für VPNs konsolidiert, wobei bestehende SSL-VPN-Tunnelmodus-Konfigurationsoptionen nicht mehr funktionieren werden. Um ununterbrochenen Fernzugriff zu gewährleisten, musst Du Deine SSL-VPN-Tunnelmodus-Konfiguration vor dem Upgrade auf FortiOS 7.6.3 auf IPsec-VPN migrieren.

Wenn Du den SSL-VPN-Webmodus verwendest, bleiben Deine bestehenden Konfigurationen nach dem Upgrade erhalten und funktional, da sie als agentenloses VPN betrieben werden.

Es ist entscheidend, dass Du vor dem Upgrade auf FortiOS 7.6.3 die notwendigen Schritte unternimmst, um Deine VPN-Konfiguration anzupassen.

Fortinet hat umfassende Dokumentationen und Leitfäden bereitgestellt, die Dir dabei helfen können, diesen Übergang reibungslos zu gestalten. Stelle sicher, dass Du die Kompatibilität deiner aktuellen VPN-Lösungen überprüfst und gegebenenfalls die empfohlenen Anpassungen vornimmst.
Zusätzlich bietet FortiOS 7.6.3 eine Reihe von Verbesserungen und neuen Funktionen, die die Leistung und Sicherheit Deines Netzwerks weiter steigern werden. Das Upgrade auf IPsec-VPN ist nicht nur eine Notwendigkeit, sondern kann auch dazu beitragen, Deine Netzwerkarchitektur zukunftssicher zu gestalten.

Falls Du Unterstützung bei der Migration benötigst, steht Dir das ALSO-Team zur Verfügung, um Dich durch den Prozess zu führen und sicherzustellen, dass alle Deine Anforderungen erfüllt werden.
Durch eine rechtzeitige und sorgfältige Vorbereitung kannst Du sicherstellen, dass der Übergang zu FortiOS 7.6.3 ohne Unterbrechungen oder Komplikationen erfolgt.

Betroffene Produkte:
Alle FortiGate Modelle

Betroffenes FortiOS:
FortiOS 7.6.3

Dokumentation Fortinet:

Dokumentation in diesem Wiki:


add 01.05.2025 - 4Tinu