Fortinet:Support-Alerts: Unterschied zwischen den Versionen

Aus Fortinet Wiki
Zur Navigation springen Zur Suche springen
Zeile 92: Zeile 92:
[[Datei:new.svg|40px|link=]]
[[Datei:new.svg|40px|link=]]
----
----
<big>'''Einleitung:'''</big></br>
FortiBleed beschreibt eine gross angelegte Credential-Exposure- und Exploitation-Kampagne gegen internetexponierte Fortinet FortiGate Firewalls  
FortiBleed beschreibt eine gross angelegte Credential-Exposure- und Exploitation-Kampagne gegen internetexponierte Fortinet FortiGate Firewalls  
und SSL-VPN-Gateways. Laut öffentlicher Berichterstattung wurden über 73'000 eindeutige Fortinet-Firewall-URLs in 194 Ländern mit kompromittierten  
und SSL-VPN-Gateways. Laut öffentlicher Berichterstattung wurden über 73'000 eindeutige Fortinet-Firewall-URLs in 194 Ländern mit kompromittierten  
Zeile 97: Zeile 98:
sondern auch wiederverwendete, geleakte oder unzureichend geschützte Zugangsdaten ein kritisches Risiko für Perimeter-Systeme darstellen.
sondern auch wiederverwendete, geleakte oder unzureichend geschützte Zugangsdaten ein kritisches Risiko für Perimeter-Systeme darstellen.


'''Ursache'''</br>
<big>'''Ursache:'''</big></br>
Die Ursache von FortiBleed liegt nach aktuellem Kenntnisstand nicht in einer bestätigten einzelnen Zero-Day-Schwachstelle oder einem eindeutig  
Die Ursache von FortiBleed liegt nach aktuellem Kenntnisstand nicht in einer bestätigten einzelnen Zero-Day-Schwachstelle oder einem eindeutig  
zugeordneten CVE. Vielmehr handelt es sich um eine Kombination aus internetweit erreichbaren Fortinet-Instanzen, historischen Credential-Leaks,  
zugeordneten CVE. Vielmehr handelt es sich um eine Kombination aus internetweit erreichbaren Fortinet-Instanzen, historischen Credential-Leaks,  
Zeile 106: Zeile 107:
die fehlende Kontrolle über die Herkunft, Wiederverwendung und Absicherung von Credentials auf sicherheitskritischen Edge-Systemen.
die fehlende Kontrolle über die Herkunft, Wiederverwendung und Absicherung von Credentials auf sicherheitskritischen Edge-Systemen.


'''Was bedeutet der „Bleed“ bei FortiBleed?'''</br>
<big>'''Was bedeutet der „Bleed“ bei FortiBleed?'''</big></br>
Der Begriff ''Bleed'' beschreibt in diesem Kontext das fortlaufende Abfliessen von Zugangsdaten und Authentifizierungsinformationen aus  
Der Begriff ''Bleed'' beschreibt in diesem Kontext das fortlaufende Abfliessen von Zugangsdaten und Authentifizierungsinformationen aus  
kompromittierten Umgebungen. Sobald Angreifer Zugriff auf ein Fortinet-Gateway erhalten, kann das System als Beobachtungspunkt an der Netzwerkgrenze  
kompromittierten Umgebungen. Sobald Angreifer Zugriff auf ein Fortinet-Gateway erhalten, kann das System als Beobachtungspunkt an der Netzwerkgrenze  
Zeile 116: Zeile 117:
Active Directory ausweiten kann.
Active Directory ausweiten kann.


'''Impact'''</br>
<big>'''Impact'''</big></br>
Der Impact ist hoch, weil FortiGate-Firewalls und SSL-VPN-Gateways typischerweise direkt am Netzwerkperimeter betrieben werden.  
Der Impact ist hoch, weil FortiGate-Firewalls und SSL-VPN-Gateways typischerweise direkt am Netzwerkperimeter betrieben werden.  
Ein erfolgreicher Zugriff kann Angreifern ermöglichen, administrative Schnittstellen zu missbrauchen, VPN-Zugänge zu verwenden,  
Ein erfolgreicher Zugriff kann Angreifern ermöglichen, administrative Schnittstellen zu missbrauchen, VPN-Zugänge zu verwenden,  
Zeile 125: Zeile 126:
Passwortänderung in vielen Fällen nicht aus. Du musst davon ausgehen, dass ein kompromittierter Perimeter-Zugang eine vollständige  
Passwortänderung in vielen Fällen nicht aus. Du musst davon ausgehen, dass ein kompromittierter Perimeter-Zugang eine vollständige  
Incident-Response-Prüfung erfordert.
Incident-Response-Prüfung erfordert.
'''Empfohlene Massnahmen'''</br>
<big>'''Empfohlene Massnahmen'''</big></br>
* Prüfe alle internetexponierten FortiGate- und SSL-VPN-Systeme auf verdächtige Login-Versuche, ungewöhnliche Admin-Aktivitäten und unbekannte VPN-Sessions.
* Prüfe alle internetexponierten FortiGate- und SSL-VPN-Systeme auf verdächtige Login-Versuche, ungewöhnliche Admin-Aktivitäten und unbekannte VPN-Sessions.
* Erzwinge umgehend eine Rotation aller lokalen, administrativen und VPN-bezogenen Zugangsdaten auf betroffenen oder potenziell exponierten Systemen.
* Erzwinge umgehend eine Rotation aller lokalen, administrativen und VPN-bezogenen Zugangsdaten auf betroffenen oder potenziell exponierten Systemen.
Zeile 136: Zeile 137:
* Setze Credential-Hygiene durch: keine Passwortwiederverwendung, regelmässige Überprüfung gegen bekannte Leaks und strikte Trennung von Service-, Admin- und Benutzerkonten.
* Setze Credential-Hygiene durch: keine Passwortwiederverwendung, regelmässige Überprüfung gegen bekannte Leaks und strikte Trennung von Service-, Admin- und Benutzerkonten.
* Führe bei Verdacht auf Kompromittierung eine vollständige Incident-Response-Analyse durch, inklusive Log-Sicherung, forensischer Prüfung und Bewertung möglicher Datenexfiltration.
* Führe bei Verdacht auf Kompromittierung eine vollständige Incident-Response-Analyse durch, inklusive Log-Sicherung, forensischer Prüfung und Bewertung möglicher Datenexfiltration.
'''Technische Einschätzung'''</br>
<big>'''Technische Einschätzung'''</big></br>
FortiBleed sollte nicht als isolierter Produktfehler betrachtet werden, sondern als Warnsignal für den Schutz von Edge-Infrastrukturen.  
FortiBleed sollte nicht als isolierter Produktfehler betrachtet werden, sondern als Warnsignal für den Schutz von Edge-Infrastrukturen.  
Du solltest Fortinet-Systeme am Perimeter wie kritische Identitäts- und Zugriffskomponenten behandeln. Entscheidend sind starke Authentifizierung,  
Du solltest Fortinet-Systeme am Perimeter wie kritische Identitäts- und Zugriffskomponenten behandeln. Entscheidend sind starke Authentifizierung,  

Version vom 19. Juni 2026, 07:27 Uhr

Fortigate:Support-Alerts

Vorwort

Diese Seite informiert über Aktuelle Support Informationen sogenannte "Support Bulletin" von Fortinet!


Datenschutz

        *********************************************************************
        *                                                                   *
        *  THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY  *
        *      PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING,      *
        *    DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM     *
        *                  ALSO SCHWEIZ AG SWITZERLAND.                     *
        *                                                                   *
        *********************************************************************

"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung von der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht 
                         bekannt gemacht werden"

Nuetzliche Links

PSIRT Blog Fortinet:

kann auch als RSS Feed gezogen werden!

Fortinet Security Vulnerability Policy

Häufige Fragen werden hier beantwortet:'

Wenn ich eine Sicherheitslücke in einem Fortinet Produkt finde, kann ich diese über folgendes Formular direkt an Fortinet melden:

Customer Support Bulletin:

kann auch als RSS Feed gezogen werden!


add 28.10.2022 - 4Tinu

Psirt

Wieso soll ich meine Fortigate Systeme immer auf einem aktuellen Software Stand haben?

Beschreibung
Ein Bedrohungsakteur hat eine bekannte Schwachstelle ausgenutzt, um Lesezugriff auf anfällige FortiGate-Geräte zu implementieren. Dies wurde durch das Erstellen eines symbolischen Links erreicht, der das Benutzerdateisystem und das Root-Dateisystem in einem Ordner verbindet, der zum Bereitstellen von Sprachdateien für das ssL-VPN verwendet wird. Diese Änderung fand im Benutzerdateisystem statt und blieb unentdeckt. Daher könnte dieser symbolische Link zurückgeblieben sein, selbst wenn das Kunden-Gerät mit FortiOS-Versionen aktualisiert wurde, die die ursprünglichen Schwachstellen behoben haben, und dem Bedrohungsakteur weiterhin Lesezugriff auf Dateien im Dateisystem des Geräts ermöglichen, zu denen möglicherweise auch Konfigurationen gehören. Wichtig ist, dass der Kunde nicht betroffen ist, wenn ssL-VPN nie aktiviert war. Als Teil einer Untersuchung hat Fortinet Scans durchgeführt, um betroffene Geräte mithilfe interner Telemetrie und in Zusammenarbeit mit Drittorganisationen zu identifizieren. Die Daten zeigen, dass diese Bedrohungsakteur-Aktivität nicht auf eine bestimmte Region oder Branche abzielt. Abhilfe
Nach der Entdeckung der neuen Technik, die der Bedrohungsakteur oben beschrieben verwendet hat, hat Fortinet Schritte unternommen, um dieses Problem zu mildern und unterschiedliche Ebenen der Cyber-Hygiene und Herausforderungen, denen der Kunde möglicherweise gegenübersteht, auszubalancieren. Zu den Minderungsmassnahmen von Fortinet gehören:

  • Ein AV/IPS-Signatur wurde erstellt, um diesen symbolischen Link auf betroffenen Geräten zu erkennen und zu bereinigen.
  • Änderungen wurden in die neuesten Releases aufgenommen, um den symbolischen Link zu erkennen und zu entfernen und sicherzustellen, dass das ssL-VPN nur die erwarteten Dateien bereitstellt.
  • Proaktive Kommunikation, die Kunden zum Aktualisieren ihrer Geräte auffordert, sorgfältig ausbalanciert, um gegen weitere unbeabsichtigte Kompromittierungen zu schützen, und gleichzeitig unser Engagement für verantwortungsvolle Transparenz erfüllt.

Speziell zu den in diesem Blog beschriebenen Ergebnissen (April 2025) hat Fortinet mehrere FortiOS-Abhilfemassnahmen veröffentlicht, darunter:

  • FortiOS 7.4, 7.2, 7.0, 6.4: Der symbolische Link wurde als bösartig vom AV/IPS-Engine markiert, sodass er automatisch entfernt wird, wenn die Engine lizenziert und aktiviert ist.
  • FortiOS 7.6.2, 7.4.7, 7.2.11 & 7.0.17, 6.4.16: Durch das Upgrade auf diese Version wird der bösartige symbolische Link entfernt.
  • FortiOS 7.6.2, 7.4.7, 7.2.11 & 7.0.17, 6.4.16: Die ssL-VPN-Benutzeroberfläche wurde modifiziert, um das Bereitstellen solcher bösartigen symbolischen Links zu verhindern.

Fortinet hat direkt mit Kunden kommuniziert, die nach den verfügbaren Telemetriedaten als von diesem Problem betroffen identifiziert wurden, und empfehlen ihnen, folgende Schritte zu unternehmen:

  • Alle Geräte auf 7.6.2, 7.4.7, 7.2.11 & 7.0.17 oder 6.4.16 upgraden.
  • Die Konfiguration aller Geräte überprüfen.
  • Alle Konfigurationen als potenziell kompromittiert betrachten und die empfohlenen Schritte unten befolgen, um sich zu erholen:
  • KB-Artikel Fortinet

Muss ich upgraden?
Es ist von entscheidender Bedeutung, dass alle Organisationen ihre Geräte auf dem neuesten Stand halten. Verschiedene Regierungsorganisationen haben berichtet, dass staatlich unterstützte Bedrohungsakteure alle Anbieter, einschliesslich bekannter, aber ungepatchter Schwachstellen, ins Visier nehmen. Im Allgemeinen ist die beste Verteidigung gegen jede bekannte Schwachstelle die Einhaltung guter Cyber-Hygiene-Praktiken, einschliesslich Upgrades. Der 2H 2023 Global Threat Landscape Report von FortiGuard Labs hat herausgefunden, dass Bedrohungsakteure durchschnittlich 4,76 Tage nach der öffentlichen Bekanntgabe einer neuen Schwachstelle eine bekannte Schwachstelle ausnutzen. In diesem Klima haben sowohl Anbieter als auch Kunden eine Rolle zu spielen. Anbieter müssen robuste Sicherheitsprüfungen in allen Phasen des Produktentwicklungslebenszyklus einführen und sich der verantwortungsvollen Transparenz in ihren Schwachstellenmeldungen widmen. Mit mehr als 40.000 aufgezeichneten Schwachstellen im Jahr 2024 basierend auf Daten von NIST ist es auch von entscheidender Bedeutung, dass Kunden ein strenges Patch-Regime einhalten, um das Risiko einer Ausnutzung zu verringern. In Bezug auf diesen Vorfall hat Fortinet direkt mit identifizierten betroffenen Kunden kommuniziert, die auf Basis der verfügbaren Telemetrie Massnahmen ergreifen müssen. Fortinet empfiehlt jedoch allen Kunden, unabhängig davon auf eine dieser empfohlenen Versionen zu upgraden. Fortinet hat auch viele Änderungen integriert, um die Sicherheitsfunktionen weiter zu verbessern, die sich mit den wichtigsten Herausforderungen der Kunden befassen und für Kunden verfügbar sind, die auf die neueste Version aktualisieren, einschliesslich, aber nicht beschränkt auf:

  • Zusätzliche Kompilierungszeit-Härtung, um die Angriffsbarriere auf Produkte zu erhöhen.
  • Virtuelles Patchen, um Probleme vor der Patch-Verarbeitung zu mildern.
  • Implementierung der Firmware-Integritätsvalidierung in Hardware (BIOS).
  • Einführung der Integrity Measurement Architecture (IMA) / Filesystem Integrity.
  • Automatische Updates, um Geräte nahtlos gegen Schwachstellen zu patchen, ohne dass Administratoren eingreifen müssen.

Fortinet ermutigt Kunden weiterhin, die FortiOS-Best-Practice-Ressourcen zu nutzen, einschliesslich Anleitungen zur Systemhärtung sowie Funktionen, die Kunden helfen, den Aktualisierungsprozess zu automatisieren, wie Uninterrupted Cluster Upgrade, Sub-second failover, Fail-over protection, Auto-restore configs / Configuration revisions und Automatic / Scheduled patch upgrades.

Quelle: https://www.fortinet.com/blog/psirt-blogs/analysis-of-threat-actor-activity


add 15.04.2025 - 4Tinu | Microsoft Copilot Copilot-icon.png hat mir geholfen

Vulnerabilities

Vulnerability.svg

FortiBleed: Grossflächige Kompromittierung von Fortinet-Firewalls

New.svg


Einleitung:
FortiBleed beschreibt eine gross angelegte Credential-Exposure- und Exploitation-Kampagne gegen internetexponierte Fortinet FortiGate Firewalls und SSL-VPN-Gateways. Laut öffentlicher Berichterstattung wurden über 73'000 eindeutige Fortinet-Firewall-URLs in 194 Ländern mit kompromittierten oder validierten Zugangsdaten in Verbindung gebracht. Die Kampagne zeigt deutlich, dass nicht nur klassische Schwachstellen, sondern auch wiederverwendete, geleakte oder unzureichend geschützte Zugangsdaten ein kritisches Risiko für Perimeter-Systeme darstellen.

Ursache:
Die Ursache von FortiBleed liegt nach aktuellem Kenntnisstand nicht in einer bestätigten einzelnen Zero-Day-Schwachstelle oder einem eindeutig zugeordneten CVE. Vielmehr handelt es sich um eine Kombination aus internetweit erreichbaren Fortinet-Instanzen, historischen Credential-Leaks, Credential-Stuffing, Brute-Force-Aktivitäten und potenziell bereits kompromittierten Zugangsdaten. Angreifer haben automatisiert nach exponierten FortiGate- und SSL-VPN-Systemen gesucht und diese gegen grosse Sammlungen bekannter Benutzernamen und Passwörter getestet. Besonders kritisch ist, dass auch komplexe Passwörter betroffen sein können, wenn sie bereits durch Infostealer-Malware, frühere Datenabflüsse oder unsichere Wiederverwendung in Klartextdatenbanken vorhanden waren. Die eigentliche Schwachstelle ist daher häufig nicht die Passwortlänge, sondern die fehlende Kontrolle über die Herkunft, Wiederverwendung und Absicherung von Credentials auf sicherheitskritischen Edge-Systemen.

Was bedeutet der „Bleed“ bei FortiBleed?
Der Begriff Bleed beschreibt in diesem Kontext das fortlaufende Abfliessen von Zugangsdaten und Authentifizierungsinformationen aus kompromittierten Umgebungen. Sobald Angreifer Zugriff auf ein Fortinet-Gateway erhalten, kann das System als Beobachtungspunkt an der Netzwerkgrenze missbraucht werden. Darüber lassen sich weitere Anmeldeinformationen aus VPN-, Verwaltungs- oder nachgelagerten Netzwerkverbindungen identifizieren, sammeln und erneut für weitere Angriffe verwenden.
Dieser Prozess ist besonders gefährlich, weil er sich selbst verstärken kann: Bereits bekannte Zugangsdaten ermöglichen den ersten Zugriff, der Zugriff ermöglicht die Sammlung weiterer Credentials, und diese neuen Credentials werden anschliessend wieder für zusätzliche Systeme getestet. Dadurch entsteht ein automatisierter Kreislauf, der über eine einzelne Firewall hinausgehen und sich bis in interne Verzeichnisdienste wie Active Directory ausweiten kann.

Impact
Der Impact ist hoch, weil FortiGate-Firewalls und SSL-VPN-Gateways typischerweise direkt am Netzwerkperimeter betrieben werden. Ein erfolgreicher Zugriff kann Angreifern ermöglichen, administrative Schnittstellen zu missbrauchen, VPN-Zugänge zu verwenden, Traffic zu beobachten, zusätzliche Zugangsdaten zu erbeuten und sich lateral in interne Netzwerke zu bewegen. Besonders kritisch ist dies für Organisationen mit exponierten Management-Interfaces, fehlender Multi-Faktor-Authentifizierung oder unzureichender Protokollüberwachung.
Ein weiterer Risikofaktor ist die mögliche Persistenz. Selbst wenn ein Passwort später geändert oder eine bekannte Schwachstelle gepatcht wird, können Angreifer bereits zusätzliche Konten, Tokens, Konfigurationen oder interne Zugangspfade gesammelt haben. Deshalb reicht eine reine Passwortänderung in vielen Fällen nicht aus. Du musst davon ausgehen, dass ein kompromittierter Perimeter-Zugang eine vollständige Incident-Response-Prüfung erfordert. Empfohlene Massnahmen

  • Prüfe alle internetexponierten FortiGate- und SSL-VPN-Systeme auf verdächtige Login-Versuche, ungewöhnliche Admin-Aktivitäten und unbekannte VPN-Sessions.
  • Erzwinge umgehend eine Rotation aller lokalen, administrativen und VPN-bezogenen Zugangsdaten auf betroffenen oder potenziell exponierten Systemen.
  • Aktiviere Multi-Faktor-Authentifizierung konsequent für VPN-Zugänge, Administrator-Konten und privilegierte Benutzer.
  • Beschränke Management-Zugriffe auf dedizierte Admin-Netze, vertrauenswürdige IP-Adressen oder sichere Out-of-Band-Zugänge.
  • Deaktiviere unnötige öffentliche Verwaltungsoberflächen und stelle sicher, dass nur zwingend benötigte Services aus dem Internet erreichbar sind.
  • Aktualisiere FortiOS, FortiGate- und SSL-VPN-Komponenten auf die vom Hersteller empfohlenen Versionen und prüfe zusätzlich alle relevanten Fortinet Security Advisories.
  • Analysiere FortiGate-Konfigurationen auf unbekannte Admin-Konten, manipulierte Policies, verdächtige VPN-Profile und unautorisierte Änderungen.
  • Überprüfe Active Directory, RADIUS, LDAP und andere angebundene Authentifizierungssysteme auf verdächtige Anmeldeereignisse und laterale Bewegungen.
  • Setze Credential-Hygiene durch: keine Passwortwiederverwendung, regelmässige Überprüfung gegen bekannte Leaks und strikte Trennung von Service-, Admin- und Benutzerkonten.
  • Führe bei Verdacht auf Kompromittierung eine vollständige Incident-Response-Analyse durch, inklusive Log-Sicherung, forensischer Prüfung und Bewertung möglicher Datenexfiltration.

Technische Einschätzung
FortiBleed sollte nicht als isolierter Produktfehler betrachtet werden, sondern als Warnsignal für den Schutz von Edge-Infrastrukturen. Du solltest Fortinet-Systeme am Perimeter wie kritische Identitäts- und Zugriffskomponenten behandeln. Entscheidend sind starke Authentifizierung, eingeschränkte Erreichbarkeit, konsequentes Patching, saubere Credential-Prozesse und ein Monitoring, das nicht nur Schwachstellen, sondern auch missbräuchliche Nutzung gültiger Zugangsdaten erkennt.


add 19.06.2026 - 4Tinu | Microsoft Copilot Copilot-icon.png hat mir geholfen


Vulnerability.svg

OpenSSL - CVE-2025-15467


Problembeschreibung
Das Parsen einer CMS AuthEnvelopedData-Nachricht mit absichtlich manipulierten AEAD-Parametern kann einen Stack-Buffer-Overflow auslösen. Ein Stack-Buffer-Overflow kann zu einem Absturz führen, was wiederum einen Denial-of-Service (DoS) verursacht oder potenziell sogar eine Remotecodeausführung ermöglicht. Beim Parsen von CMS AuthEnvelopedData-Strukturen, die AEAD-Verschlüsselungen wie AES-GCM verwenden, wird der im ASN.1-Parameter kodierte IV (Initialisierungsvektor) in einen Stack-Puffer fester Grösse kopiert, ohne zu überprüfen, ob dessen Länge in das Ziel passt. Ein Angreifer kann eine speziell präparierte CMS-Nachricht mit einem zu grossen IV bereitstellen, was zu einem Stack-basierten Schreibzugriff ausserhalb der vorgesehenen Grenzen führt, noch bevor eine Authentifizierung oder Tag-Prüfung stattfindet. Anwendungen und Dienste, die nicht vertrauenswürdige CMS* oder PKCS#7-Inhalte mit AEAD-Verschlüsselungen (z. B. S/MIME AuthEnvelopedData mit AES-GCM) verarbeiten, sind gefährdet. Da der Overflow vor der Authentifizierung auftritt, ist kein gültiges Schlüsselmaterial erforderlich, um ihn auszulösen. Die Ausnutzbarkeit zur Remotecodeausführung hängt zwar von Plattform* und Toolchain-Schutzmechanismen ab, aber der Stack-basierte Schreibzugriff stellt ein erhebliches Risiko dar. Die FIPS-Module in den Versionen 3.6, 3.5, 3.4, 3.3 und 3.0 sind von diesem Problem nicht betroffen, da die CMS-Implementierung ausserhalb des OpenssL-FIPS-Moduls liegt.

  • OpenssL 3.6, 3.5, 3.4, 3.3 und 3.0 sind jedoch anfällig für dieses Problem.
  • OpenssL 1.1.1 und 1.0.2 sind davon nicht betroffen.

Fortinet PSIRT untersucht derzeit die Auswirkungen dieses CVE auf die Fortinet-Produkte.
betroffen..
Bedrohungslevel:

  • Severity : Critical
  • Die Bedrohung wird mit einem CVssv3 Score von 9.8 eingestuft!

Nicht Betroffene Systeme (Stand 25.03.2026)

  • FortiAP
  • FortiWeb
  • FortiVoice
  • FortiTester
  • FortiSwitch
  • FortiSandbox
  • FortiSOAR
  • FortiSIEM
  • FortiRecorder
  • FortiPortal
  • FortiOS
  • FortiNAC-F
  • FortiNAC
  • FortiManager
  • FortiMail
  • FortiExtender
  • FortiDDoS
  • FortiConverter
  • FortiCloud
  • FortiClient Windows
  • FortiClient MacOS
  • FortiClient Linux
  • FortiAuthenticator
  • FortiAnalyzer
  • FortiAP-W2
  • FortiAP-U
  • FortiClient iOS
  • FortiClient Android
  • FortiClient EMS
  • FortiWebManager
  • FortiADC
  • FortiADC Manager
  • FortiProxy

Weitere Informationen findet man unter folgenden externen Artikeln:
PSIRT FortiGuard:

CVE Informationen

Weitere Referenzen:


edit 25.03.2026 * 4Tinu


Vulnerability.svg

Administrative FortiCloud SSO authentication bypass - FG-IR-26-060

New.svg


Problembeschreibung
Eine Schwachstelle vom Typ „Authentication Bypass Using an Alternate Path or Channel“ [CWE-288] in FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb kann es einem Angreifer mit einem FortiCloud-Konto und einem registrierten Gerät ermöglichen, sich an anderen Geräten anzumelden, die bei anderen Konten registriert sind, sofern auf diesen Geräten die FortiCloud SSO-Authentifizierung aktiviert ist.

Bitte beachte, dass die FortiCloud SSO-Anmeldefunktion in den Werkseinstellungen standardmässig deaktiviert ist. Wenn Du jedoch das Gerät über die Geräteeinstellungen bei FortiCare registrierst, wird FortiCloud SSO für die Anmeldung aktiviert, sofern Du beim Registrierungsprozess die Option Allow administrative login using FortiCloud SSO nicht deaktivierst.

Diese Schwachstelle wurde bereits aktiv ausgenutzt:

  • Zwei böswillige FortiCloud-Konten wurden dabei am 22.01.2026 gesperrt.
  • Um weiteren Missbrauch zu verhindern, hat Fortinet am 26.01.2026 die FortiCloud SSO-Funktion serverseitig deaktiviert.
  • Am 27.01.2026 wurde sie wieder aktiviert, unterstützt jedoch keine Anmeldungen mehr von Geräten mit verwundbaren Versionen.

Du musst daher auf die unten aufgeführten neuesten Versionen aktualisieren, damit FortiCloud SSO weiterhin genutzt werden kann.

  • FortiManager Cloud, FortiAnalyzer Cloud und FortiGate Cloud sind nicht betroffen.
  • Setups mit einem eigenen IdP für SSO statt FortiCloud sind nicht betroffen (einschliesslich Setups mit FortiAuthenticator als Custom IdP).

Bedrohungslevel:

  • Severity : Critical
  • Die Bedrohung wird mit einem CVSSv3 Score von 9.4 eingestuft!

Betroffene Systeme:

FortiAnalyzer

  • FortiAnalyzer 7.6 : 7.6.0 - 7.6.5
  • FortiAnalyzer 7.4 : 7.4.0 - 7.4.9
  • FortiAnalyzer 7.2 : 7.2.0 - 7.2.11
  • FortiAnalyzer 7.0 : 7.0.0 - 7.0.15
  • FortiAnalyzer 6.4 : 6.4.x ist nicht betroffen

FortiManager

  • FortiManager 7.6 : 7.6.0 - 7.6.5
  • FortiManager 7.4 : 7.4.0 - 7.4.9
  • FortiManager 7.2 : 7.2.0 - 7.2.11
  • FortiManager 7.0 : 7.0.0 - 7.0.15
  • FortiManager 6.4 : 6.4.x ist nicht betroffen

FortiGate:

  • FortiOS 8.0 : 8.0.x ist nicht betroffen
  • FortiOS 7.6 : 7.6.0 - 7.6.5
  • FortiOS 7.4 : 7.4.0 - 7.4.10
  • FortiOS 7.2 : 7.2.0 - 7.2.12
  • FortiOS 7.0 : 7.0.0 - 7.0.18
  • FortiOS 6.4 : 6.4.x ist nicht betroffen

FortiProxy:

  • FortiProxy 7.6 : 7.6.0 - 7.6.4
  • FortiProxy 7.4 : 7.4.0 - 7.4.12
  • FortiProxy 7.2 : 7.2.x Alle Versionen
  • FortiProxy 7.0 : 7.0.x Alle Versionen

FortiWeb:

  • FortiWeb 8.0 : 8.0.0 - 8.0.3
  • FortiWeb 7.6 : 7.6.0 - 7.6.6
  • FortiWeb 7.4 : 7.4.0 - 7.6.6
  • FortiWeb 7.2 : 7.2.x ist nicht betroffen
  • FortiWeb 7.0 : 7.0.x ist nicht betroffen

FortiSwitch Manager:

  • Dieses Produkt wird noch untersucht ob es auch betroffen ist.

Lösung:
Auf folgende Versionen upgraden, damit die Sicherheitslücke geschlossen wird.

FortiAnalyzer

  • FortiAnalyzer 7.6 : upgraden auf 7.6.6 Version bald verfügbar - Stand 29.01.2026
  • FortiAnalyzer 7.4 : upgraden auf 7.4.10 oder höher
  • FortiAnalyzer 7.2 : upgraden auf 7.2.12 Version bald verfügbar - Stand 29.01.2026
  • FortiAnalyzer 7.0 : upgraden auf 7.0.16 Version bald verfügbar - Stand 29.01.2026

FortiManager

  • FortiManager 7.6 : upgraden auf 7.6.6 Version bald verfügbar - Stand 29.01.2026
  • FortiManager 7.4 : upgraden auf 7.4.10 oder höher
  • FortiManager 7.2 : upgraden auf 7.2.13 Version bald verfügbar - Stand 29.01.2026
  • FortiManager 7.0 : upgraden auf 7.0.16 Version bald verfügbar - Stand 29.01.2026

FortiGate:

  • FortiOS 7.6 : upgraden auf 7.6.6 oder höher
  • FortiOS 7.4 : upgraden auf 7.4.11 oder höher
  • FortiOS 7.2 : upgraden auf 7.2.13 oder höher
  • FortiOS 7.0 : upgraden auf Version bald verfügbar - Stand 30.01.2026

FortiProxy:

  • FortiProxy 7.6 : upgraden auf 7.6.6 Version bald verfügbar - Stand 29.01.2026
  • FortiProxy 7.4 : upgraden auf 7.4.13 Version bald verfügbar - Stand 29.01.2026
  • FortiProxy 7.2 : upgraden auf 7.2.x migrieren auf eine Supportete Version (7.6.6 oder 7.4.13)
  • FortiProxy 7.0 : upgraden auf 7.0.x migrieren auf eine Supportete Version (7.6.6 oder 7.4.13)

FortiWeb:

  • FortiWeb 8.0 : upgraden auf 8.0.4 Version bald verfügbar - Stand 29.01.2026
  • FortiWeb 7.6 : upgraden auf 7.6.7 Version bald verfügbar - Stand 29.01.2026
  • FortiWeb 7.4 : upgraden auf 7.4.12 Version bald verfügbar - Stand 29.01.2026

Weitere Massnahmen und Workaround:

Die FortiCloud SSO-Authentifizierung unterstützt keine Anmeldungen mehr von Geräten mit verwundbaren Versionen.
Daher ist es derzeit nicht notwendig, die FortiCloud SSO-Anmeldung auf der Client-Seite zu deaktivieren.
Zur Referenz kann dies dennoch wie folgt durchgeführt werden:

Bei FortiOS und FortiProxy:

Config webgui.png Konfiguration über das WebGui:

Zum Deaktivieren der FortiCloud-Login-Funktion navigierst Du zu:

System Settings Allow administrative login using FortiCloud SSO Option deaktivieren.

Fortinet-3546.jpg
Config cli.png Konfiguration über die CLI:
 
config system global
set admin-forticloud-sso-login disable
end

Beim FortiManager oder FortiAnalyzer:

Config webgui.png Konfiguration über das WebGui:

Zum Deaktivieren der FortiCloud-Login-Funktion navigierst Du zu:

System Settings SAML SSO Allow admins to login with FortiCloud Option deaktivieren.

Fortinet-3550.jpg
Config cli.png Konfiguration über die CLI:
 
config system saml
set forticloud-sso disable
end

Idicators of Compromise
SSO-Login-Benutzerkonten:

Der Angreifer wurde dabei beobachtet, sich mit den folgenden Benutzerkonten anzumelden:

  • cloud-noc@mail.io
  • cloud-init@mail.io

Fortinet geht davon aus, dass sich diese Adressen in Zukunft ändern könnten, da Massnahmen ergriffen wurden, um diese Konten zu neutralisieren.
IP-Adressen:

Der Angreifer wurde beobachtet, wie er sich über mehrere IP-Adressen angemeldet hat und offenbar auf durch Cloudflare geschützte IPs gewechselt ist:

  • 104.28.244.115
  • 104.28.212.114
  • 104.28.212.115
  • 104.28.195.105
  • 104.28.195.106
  • 104.28.227.106
  • 104.28.227.105
  • 104.28.244.114

Adressen die nicht von Fortinet sondern von Drittpersonen beobachtet wurden:

  • 37[.]1.209.19
  • 217[.]119.139.50

Bösartige Erstellung lokaler Konten:

Nach der Authentifizierung via SSO wurde beobachtet, dass der Angreifer ein lokales Administratorkonto mit einem der folgenden Namen erstellt.
Diese Namen haben sich im Verlauf der Analyse geändert. Daher empfiehlt Fortinet, alle Administratorkonten zu überprüfen, um unerwartete Einträge zu identifizieren:

  • audit
  • backup
  • itadmin
  • secadmin
  • support
  • backupadmin
  • deploy
  • itadmin
  • remoteadmin
  • security
  • svcadmin
  • system
Hinweis.svg

In diesem Wiki Artikel wird erklärt, wie man eine Email bekommt, wenn eine Konfigurationsänderung vorgenommen wird.

Hauptoperationen des Angreifers:

  • Herunterladen der Kunden-Konfigurationsdatei
  • Hinzufügen eines Administratorkontos zur Erhaltung des Zugriffs (Persistenz)

Weitere Informationen findet man unter folgenden externen Artikeln:
PSIRT - FortiGuard:

CVE Informationen

Heise.de:


edit 30.01.2026 - 4Tinu


Vulnerability.svg

Heap-based buffer overflow in cw_acd daemon - FG-IR-25-084


Problembeschreibung Eine heap-basierte Pufferüberlauf-Schwachstelle [CWE-122] in FortiOS und FortiSwitchManager cw_acd Daemon kann es einem remoten, nicht authentifizierten Angreifer ermöglichen, beliebigen Code oder Befehle über speziell erstellte Anfragen auszuführen.

Das Vorhandensein von Sicherheitskontrollen wie ASLR und PIE erhöht die Komplexität und den Vorbereitungsaufwand für die Ausnutzung erheblich.

Bedrohungslevel:

  • Severity : High
  • Die Bedrohung wird mit einem CVSSv3 Score von 7.4 eingestuft!

Betroffene Systeme:

FortiGate:

  • FortiOS 7.6.0 - 7.6.3
  • FortiOS 7.4.0 - 7.4.8
  • FortiOS 7.2.0 - 7.2.11
  • FortiOS 7.0.0 - 7.0.17
  • FortiOS 6.4.0 - 6.4.16

FortiSwitchManager:/

  • FortiSwitchManager 7.2.0 bis 7.2.6
  • FortiSwitchManager 7.0.0 bis 7.0.5

Lösung:
Auf folgende Versionen upgraden, damit die Sicherheitslücke geschlossen wird.

FortiGate:

  • FortiOS 7.6.4 oder höher
  • FortiOS 7.4.9 oder höher
  • FortiOS 7.2.12 oder höher
  • FortiOS 7.0.18 oder höher
  • FortiOS 6.4.17 (wird folgen)

FortiSwitchManager:/

  • FortiSwitchManager 7.2.7 oder höher
  • FortiSwitchManager 7.0.6 oder höher

Weitere Massnahmen und Workaround: Bei jedem Interface den fabric Zugriff entfehrnen.

Beispiel Konfiguration:

Ausgangslage:

config system interface
edit "port1"
set allowaccess fabric ssh https
next
end

ändern zu:

config system interface
edit "port1"
set allowaccess ssh https
next
end

eine Weitere Massnahme ist es den zum CAPWAP Daemon verweigern.

Für jedes interface mit dem fabric service, mit einer Localin Policy die CAPWAP-CONTROL Ports (udp 5246 - 5249) blockieren.

Beispiel:

config firewall service custom
edit "CAPWAP-CONTROL"
set udp-portrange 5246-5249
next
end
config firewall addrgrp
edit "CAPWAP_DEVICES_IPs"
set member "my_allowed_addresses" <-- IP adressen welche erlaubt sind
end
config firewall local-in-policy
edit 1 <-- Regel welche den Zugriff erlaubt.
set intf "port1" <-- Interfaces bei welchem fabric aktiviert ist
set srcaddr "CAPWAP_DEVICES_IPs"
set dstaddr "all"
set service "CAPWAP-CONTROL"
set schedule "always"
set action accept
next
edit 2 <-- Regel welche alle anderen Interfaces blockiert mit dem 
set intf "any"
set srcaddr "all'
set dstaddr "all"
set service "CAPWAP-CONTROL"
set schedule "always"
set action deny
next
end

Weitere Informationen findet man unter folgenden externen Artikeln:
PSIRT - FortiGuard:

CVE Informationen


add 21.01.2026 - 4Tinu


Vulnerability.svg

Multiple Fortinet Products FortiCloud SSO Login Authentication Bypass - CVE-2025-59718 und CVE-2025-59719

New.svg


Problembeschreibung

Eine Schwachstelle aufgrund unzureichender Verifizierung kryptographischer Signaturen (CWE-347) in FortiOS, FortiWeb, FortiProxy und FortiSwitchManager kann es einem nicht authentifizierten Angreifer ermöglichen, die FortiCloud-SSO-Login-Authentifizierung durch eine manipulierte SAML-Nachricht zu umgehen, sofern diese Funktion auf Deinem Gerät aktiviert ist.

Bedrohungslevel:

  • Severity : Critical
  • Die Bedrohung wird mit einem CVSSv3 Score von 9.1 eingestuft!

Betroffene Systeme:

FortiGate:

  • FortiOS 7.6.0 - 7.6.4
  • FortiOS 7.4.0 - 7.4.8
  • FortiOS 7.2.0 - 7.2.11
  • FortiOS 7.0.0 - 7.0.17
  • FortiOS 6.4.x ist nicht betroffen

FortiProxy:

  • FortiProxy 7.6.0 bis 7.6.3
  • FortiProxy 7.4.0 bis 7.4.10
  • FortiProxy 7.2.0 bis 7.2.14
  • FortiProxy 7.0.0 bis 7.0.21

FortiWeb:

  • FortiWeb 8.0.0
  • FortiWeb 7.6.0 bis 7.6.4
  • FortiWeb 7.4.0 bis 7.4.9
  • FortiWeb 7.2.x ist nicht betroffen
  • FortiWeb 7.0.x ist nicht betroffen

FortiSwitchManager:/

  • FortiSwitchManager 7.2.0 bis 7.2.6
  • FortiSwitchManager 7.0.0 bis 7.0.5

Lösung:
Auf folgende Versionen upgraden, damit die Sicherheitslücke geschlossen wird.

FortiGate:

  • FortiOS 7.6.4 oder höher
  • FortiOS 7.4.9 oder höher
  • FortiOS 7.2.12 oder höher
  • FortiOS 7.0.18 oder höher

FortiProxy:

  • FortiProxy 7.6.4 oder höher
  • FortiProxy 7.4.11 oder höher
  • FortiProxy 7.2.15 oder höher
  • FortiProxy 7.0.22 oder höher

FortiWeb:

  • FortiWeb 8.0.1 oder höher
  • FortiWeb 7.6.5 oder höher
  • FortiWeb 7.4.10 oder höher

FortiSwitchManager:/

  • FortiSwitchManager 7.2.7 oder höher
  • FortiSwitchManager 7.0.6 oder höher

Weitere Massnahmen und Workaround:

Um zu verhindern, dass betroffene Versionen durch diese Schwachstelle ausgenutzt werden, solltest Du die FortiCloud-Login-Funktion (falls aktiviert) vorübergehend deaktivieren, bis ein Upgrade auf eine nicht betroffene Version durchgeführt wurde.

Config webgui.png Konfiguration über das WebGui:

Zum Deaktivieren der FortiCloud-Login-Funktion navigierst Du zu:

System Settings Allow administrative login using FortiCloud SSO Option deaktivieren.

Fortinet-3546.jpg
Config cli.png Konfiguration über die CLI:
 
config system global
set admin-forticloud-sso-login disable
end
Wichtig.svg

Beachte, die FortiCloud-SSO-Login-Funktion ist per Default deaktiviert. Registrierst Du jedoch ein Gerät über die GUI bei FortiCare, wird FortiCloud SSO nach der Registrierung automatisch aktiviert.


Weitere Informationen findet man unter folgenden externen Artikeln:
PSIRT - FortiGuard:

CVE Informationen

NIST:


add 10.12.2025 - 4Tinu


Vulnerability.svg

FortiWeb - Path confusion vulnerability in GUI - CVE-2025-64446


Problembeschreibung:
Eine Schwachstelle zur Pfadmanipulation durch relative Pfadangaben (CWE-23) in FortiWeb kann einem nicht authentifizierten Angreifer ermöglichen, administrative Befehle auf dem System auszuführen, indem er speziell präparierte HTTP- oder HTTPS-Anfragen sendet.

Bedrohungslevel:

  • Severity Critical
  • Die Bedrohung wird mit einem CVSSv3 Score von 9.4 eingestuft!

Betroffene Systeme:

  • FortiWeb 8.0 OS Version 8.0.0 bis 8.0.1
  • FortiWeb 7.6 OS Version 7.6.0 bis 7.6.4
  • FortiWeb 7.4 OS Version 7.4.0 bis 7.4.9
  • FortiWeb 7.2 OS Version 7.2.0 bis 7.2.11
  • FortiWeb 7.0 OS Version 7.0.0 bis 7.0.11

Wenn das HTTP/HTTPS-Managementinterface gemäss Best Practices nur intern zugänglich ist, ist das Risiko einer Kompromittierung deutlich reduziert.

Lösung:
Auf folgende Versionen kann upgedatet werden, damit diese Sicherheitslücke geschlossen wird:

  • FortiWeb 8.0 upgraden auf 8.0.2 oder höher
  • FortiWeb 7.6 upgraden auf 7.6.5 oder höher
  • FortiWeb 7.4 upgraden auf 7.4.10 oder höher
  • FortiWeb 7.2 upgraden auf 7.2.12 oder höher
  • FortiWeb 7.0 upgraden auf 7.0.12 oder höher

Weitere Massnahmen und Workaround:

  • Bei den externen Management Interfaces HTTP und HTTPS Management Dienst deaktivieren.
  • Zugriff auf bekannte und vertrauenswürdige Sourcen limitieren
  • Es wird empfohlen, dass Du Deine Konfiguration überprüfst und die Logs auf unerwartete Änderungen oder das

Anlegen nicht autorisierter Administratorkonten kontrollierst. Indicators of Compromise (Stand 18.11.2025)
Bekannte Angreifer IP Adressen:

 107.152.41.19
 144.31.1.63
 89.169.55.168
 185.192.70.33
 185.192.70.53
 185.192.70.43
 185.192.70.25
 185.192.70.36
 185.192.70.49
 185.192.70.39 
 185.192.70.57
 185.192.70.50 
 185.192.70.46 
 185.192.70.31 
 64.95.13.8 

Siehe: Integrity360 Shift + Linke Maustaste

Die Angreifer haben folgende Zugangsdaten verwendet:

 Testpoint - AFodIUU3Sszp5 
 trader1 - 3eMIXX43
 trader - 3eMIXX43
 test1234point - AFT3$tH4ck
 Testpoint - AFT3$tH4ck
 Testpoint - AFT3$tH4ckmet0d4yaga!n

Siehe: Hacker News Shift + Linke Maustaste


Weitere Informationen findet man unter folgenden externen Artikeln:
PSIRT - FortiGuard:

CVE Informationen

Articwolf:

BSI - Deutschland:

The Hacker News:


edit 10.12.2025 - 4Tinu


Vulnerability.svg

Authentication bypass in Node.js websocket module - CVE-2024-55591


Problembeschreibung:
Eine gezielte Kampagne auf Fortinet FortiGate-Firewalls mit exponierten(externe) Managementinterfaces wurde identifiziert.
Bedrohungsakteure erlangten unbefugten administrativen Zugriff, indem sie neue Benutzerkonten erstellten, SSL-VPN-Zugriffe konfigurierten und laterale Bewegungen innerhalb des Netzwerks durchführten. Der initiale Zugriffspfad ist bislang nicht bestätigt; es wird jedoch eine Zero-Day-Schwachstelle vermutet.

Auswirkung:
Eine erfolgreiche Ausnutzung ermöglicht unautorisierte Konfigurationsänderungen, einschliesslich der Erstellung von gefälschten Administratorkonten und SSL-VPN-Zugängen, was potenziell zur vollständigen Kompromittierung des Systems führen kann.

Bedrohungslevel:

  • Severity Critical
  • Die Bedrohung wird mit einem CVSSv3 Score von 9.6 eingestuft!

Betroffene Systeme:

  • FortiGate mit FortiOS 7.0.0 - 7.0.16
  • FortiProxy mit ProxyOS 7.2.0 - 7.2.12
  • FortiProxy mit ProxyOS 7.0.0 - 7.0.19

Folgende FortiOS Versionen sind nicht betroffen:

  • FortiOS 7.2.x
  • FortiOS 7.4.x
  • FortiOS 7.6.x

Lösung:
Auf folgende Versionen kann upgedatet werden, damit diese Sicherheitslücke geschlossen wird:

  • Upgraden der FortiGate auf die Version 7.0.17 oder höher ⇒ (Das FortiOS 7.0.17 wurde am 14.1.2025 ausgerollt.)
  • Upgraden vom FortiProxy auf die Version 7.2.13 oder höher
  • Upgraden vom FortiProxy auf die Version 7.0.20 oder höher

Weitere Massnahmen und Workaround:


Weitere Informationen findet man unter folgenden externen Artikeln:
PSIRT - FortiGuard:

CVE Informationen

Articwolf:

BSI - Deutschland:


edit 15.01.2025 - 4Tinu


Vulnerability.svg

FortiManager Missing authentication in fgfmsd - CVE-2024-47575


Problembeschreibung:
Eine fehlende Authentifizierung für eine kritische Funktion [CWE-306] im FortiManager fgfmd Daemon kann es einem entfernten, nicht authentifizierten Angreifer mit einem gültigen Fortinet-Zertifikat, das von einem Fortinet-Gerät oder einer VM extrahiert wurde, ermöglichen, beliebigen Code oder Befehle über speziell gestaltete Anfragen auszuführen.
Auswirkung:
Unautorisierte Ausführung von Code oder Befehlen
Details:
Ein entfernter, nicht authentifizierter Angreifer kann Berechtigungen umgehen und unautorisierte Befehle ausführen, was den Download von FortiManager-Konfigurationen ermöglichen kann, einschliesslich derjenigen der verwalteten FortiGate-Geräte.

FG-IR: FG-IR-24-423
Bedrohungslevel:

  • Severity Critical
  • Die Bedrohung wird mit einem CVSSv3 Score von 9.8 eingestuft!

Betroffene Systeme:

  • FortiManager 7.6.0 und älter
  • FortiManager 7.4.0 bis 7.4.4
  • FortiManager 7.2.0 bis 7.2.7
  • FortiManager 7.0.0 bis 7.0.12
  • FortiManager 6.4.0 bis 6.4.14
  • FortiManager 6.2.0 bis 6.2.12
  • FortiManager Cloud 7.6 ist nicht betroffen
  • FortiManager Cloud 7.4.1 bis 7.4.4
  • FortiManager Cloud 7.2.1 bis 7.2.7
  • FortiManager Cloud 7.0.1 bis 7.0.12
  • FortiManager Cloud 6.4 sind alle Versionen betroffen

Lösung:
Auf folgende Versionen kann upgedatet werden, damit diese Sicherheitslücke geschlossen wird:

  • Upgraden auf die FortiManager Cloud Version 7.4 upgraden auf die Version 7.4.5 oder höher
  • Upgraden auf die FortiManager Cloud Version 7.2 upgraden auf die Version 7.2.5 oder höher
  • Upgraden auf die FortiManager Cloud Version 7.0 upgraden auf die Version 7.0.5 oder höher
  • Upgraden auf die FortiManager Cloud Version 6.4 auf eine höhere GA Version upgraden/migrieren

Die alten FortiAnalyzer-Modelle

  • 1000E
  • 1000F
  • 2000E
  • 3000E
  • 3000F
  • 3000G
  • 3500E
  • 3500F
  • 3500G
  • 3700F
  • 3700G
  • 3900E

mit der folgenden aktivierten Funktion (FortiManager auf FortiAnalyzer):

Config cli.png Konfiguration über die CLI:
 
config system global  
set fmg-status enable  
end

Ebenfalls ist mindestens ein Interface mit aktiviertem fgfm-Dienst von dieser Sicherheitslücke betroffen.

Workarounds:

Massnahme 1:
Auf dem FortiManager der Versionen <=7.0.12, <=7.2.5 oder <=7.4.3 (ausser 7.6.0) kann mit folgender Konfiguration verhindert werden, dass unbekannte Geräte sich versuchen zu registrieren:

Config cli.png Konfiguration über die CLI:
 
config system global
    set fgfm-deny-unknown enable
end
Wichtig.svg

Wenn du diese Einstellung aktivierst, verhindert FortiManager, dass sich ein FortiGate-Gerät registriert, falls dessen Seriennummer nicht in der Geräteliste hinterlegt ist, selbst wenn das Modellgerät und der vorab geteilte Schlüssel (PSK) übereinstimmen.

Massnahme 2:
Für alle FortiManager ab der Version 7.2.0 kannst du Abhilfemassnahmen ergreifen, indem du lokale Firewallregeln (Local-In-Regeln) erstellst. Damit kannst du die IP-Adressen der FortiGate-Geräte, welche eine Verbindung herstellen dürfen, auf eine Freigabeliste zu setzen.

Alternativ kannst du dies auch über einer externen Firewall welche vor dem FortiManager platziert ist, im Regelset konfigurieren.

Um eine lokale Firewallregel auf dem FortiManager zu konfigurieren, die Verbindungen von einem bekannten Subnetz, z. B. 198.18.250.0/24 (Verwaltungsnetzwerk), sowie der spezifischen IP-Adresse 10.250.17.2 (FortiGate-Gerät) zulässt, verwende folgende Regeln:

Config cli.png Konfiguration über die CLI:
 
config system local-in-policy
    edit 1
        set action accept
        set src 198.18.250.0/24
        set dport 443  <--- WebGui Adminport
    next
    edit 2
        set action accept
        set src 198.18.250.0/24
        set dport 22   <--- SSH Adminport
        next
    edit 3
        set action accept
        set src 10.250.17.2/32
        set dport 541  <--- Erlaube nur TCP/541 von bekannten FortiGate-IP-Adressen.
       next
    edit 4
       next
end
Info.svg

Es ist wichtig zu beachten, dass die Regel 4 im Beispiel alle Einstellungen auf "Standard" hat.
Dadurch wird diese zu einer expliziten Drop-Regel, die den Zugriff von allen anderen IP-Adressen blockiert.

Weitere Informationen betreffend Local-In-Regeln auf dem FortiManager findet man im CLI Guide:

Massnahme 3:
Für Versionen 7.2.2 und höher, 7.4.0 und höher, 7.6.0 und höher ist es auch möglich, ein benutzerdefiniertes Zertifikat zu verwenden, um die Sicherheitslücke zu beheben:

Config cli.png Konfiguration über die CLI:
 
config system global
set fgfm-ca-cert <Zertifikat>
set fgfm-cert-exclusive enable
end
  • Installiere dieses Zertifikat auf den FortiGate-Geräten.
  • Nur dieses CA-Zertifikat wird akzeptiert.
  • Dies bietet einen zusätzlichen Schutz, sofern der Angreifer kein Zertifikat erhält, das von dieser CA signiert wurde.
Info.svg

Für FortiManager-Versionen 6.2, 6.4 und 7.0.11 und darunter, führe bitte ein Upgrade auf eine der oben genannten Versionen durch und wende die entsprechenden Workarounds an.


Weitere Informationen findet man unter folgenden externen Artikeln:
PSIRT - FortiGuard:

Informationen CVE-2024-47575

Informationen auf Heise.de:

Google:


add 14.10.2024 - 4Tinu

Vulnerability.svg

Sicherheitsluecke Heap buffer overflow in sslvpn pre-authentication - CVE-2023-27997

New.svg


Problembeschreibung:
Eine neue kritische Sicherheitslücke, die derzeit noch nicht öffentlich bekannt ist, betrifft Fortinets Fortigate-Firewalls, genauer gesagt die SSL-VPN-Funktionen.

Die Sicherheitslücke ermöglicht es auf allen FortiGate mit aktivem SSL-VPN sich ohne Authentifizierung diese Schwachstelle auszunutzen.

Bedrohungslevel:
Der Schweregrad der Sicherheitslücke wird mit 9.3 !! eingestuft

Betroffene Systeme:
FortiOS Versionen:

  • FortiOS Version 7.2.0 bis 7.2.4
  • FortiOS Version 7.0.0 bis 7.0.11
  • FortiOS Version 6.4.0 bis 6.4.12
  • FortiOS Version 6.0.0 bis 6.0.16
  • Das FortiOS 7.4.0 ist nicht betroffen.

FortiProxy Versionen:

  • FortiProxy Version 7.2.0 bis 7.2.3
  • FortiProxy Version 7.0.0 bis 7.0.9
  • FortiProxy Version 2.0.0 bis 2.0.12
  • FortiProxy 1.2 alle Versionen
  • FortiProxy 1.1 alle Versionen

FortiOS-6K7K Versionen:

  • FortiOS-6K7K Version 7.0.10
  • FortiOS-6K7K Version 7.0.5
  • FortiOS-6K7K Version 6.4.12
  • FortiOS-6K7K Version 6.4.10
  • FortiOS-6K7K Version 6.4.8
  • FortiOS-6K7K Version 6.4.6
  • FortiOS-6K7K Version 6.4.2
  • FortiOS-6K7K Version 6.2.9 bis 6.2.13
  • FortiOS-6K7K Version 6.2.6 bis 6.2.7
  • FortiOS-6K7K Version 6.2.4
  • FortiOS-6K7K Version 6.0.12 bis 6.0.16
  • FortiOS-6K7K Version 6.0.10

Liste wurde von hier entnommen:

Workaround:
Das SSL-VPN auf der FortiGate deaktivieren, bis das Gerät auf einer der unter Lösung aufgeführten FortiOS Versionen, upgedatet werden kann.

Lösung:
Um die Sicherheitslücke im betroffenen FortiOS zu schliessen auf einer der folgenden FortiOS Versionen updaten. FortiOS

FortiProxy

FortiOS-6K7K

Weitere empfohlene Massnahmen:
Neben der Überwachung von Sicherheitshinweisen und dem sofortigen Patchen von Systemen empfiehlt Fortinet dringend Folgendes:


Weitere Informationen findet man unter folgenden externen Artikeln:
Heise DE:

PSIRT - FortiGuard:

CVE:


edit 22.05.2025 - 4Tinu

Support Alert

Was ist die Fortinet Support Bulletin Anouncing Page?

Fortinet Support Bulletin Announcing Page ist eine Seite in der Fortinet von Zeit zu Zeit wichtige Informationen zu BugFixes, Critical Bugs im Zusmmenhang mit dem Support der Fortinet Produkte lanciert:

Support Alert Meldungen

Hier findet man die Support Alert Meldungen welche wir noch ein wenig mit Hintergrund Informationen versuchen zu ergänzen:

Achtung.svg

FortiOS 7.0.4 Proxy-Modus Applikations Kontrolle - CSB-220207-1


Beschreibung:
Beim FortiOS 7.0.4 gibt ein potenzielles Problem mit Applikationscontroll Profile welche im Proxymodus verwendet werden. Dabei werden SSL-insertifizierte Session vorzeitig geschlossen, was zu einem Unterbruch des Datentraffics führt. Das Verhalten wird möglicherweise nicht sofort nach dem Upgrade auf 7.0.4 sichtbar sein.

Profile im Flow Modus sind davon nicht betroffen:

Betroffene Produkte:

  • FortiGate

Betroffene Betriebsysteme

  • FortiOS 7.0.4

Workaround im 7.0.4:

  • Anstatt Proxy basierte Profile momentan Flow basierte Profile benutzen.
  • Wenn das Problem auftritt, kann vorübergehend das starten des Wad-Proxy helfen:
  • diag test application wad 99
Config cli.png Konfiguration über die CLI:
diagnose test application wad 99

Lösung:
Im FortiOS 7.0.5 ist dieses Problem behoben. Daher empfehlen wir von 7.0.4 auf 7.0.5 upzugraden


Quelle:
https://support.fortinet.com/Information/Bulletin.aspx Bulletin CSB 220207-1 vom 9.2.2022

Achtung.svg

Zugriff auf Websites mit SSL-Überprüfung blockiert


Es scheint ein anhaltendes Problem mit der Zertifikatskette einer Stammzertifizierungsstelle (ISRG Root X1) zu geben. Dieses Problem betrifft alle Anbieter von SSL-Inspektionsprodukten, unabhängig davon Full-Inspektion oder Zertifikats Inspektion verwendet wird.

Achtung.svg

Dieser Issue wird mit den folgenden FortiOS Releases behoben:

  • FortiOS 6.2.10
  • FortiOS 6.4.8
  • Im FortiOS 7.0.3 ist der Bug leider immer noch enthalten.

Genaueres findet man in den Release Notes der entsprechenden Versionen unter Know Issues und Resolved Issues


Es besteht folgender Workaround (Stand 05.10.21):


Das Certificate Bundle (Version 1.28), welches die Expired Certificates ersetzt, ist neu auf FortiGuard erhältlich, und wird im Rahmen geplanter FortiGuard-Updates automatisch heruntergeladen.

Um dies zu valideren, ist folgender CLI-Befehl zu verwenden:

Config cli.png Konfiguration über die CLI
# diagnose autoupdate versions | grep -A5 '^Cert'

Certificate Bundle
---------
Version: 1.00028


Um das Certificate Bundle manuell upzudaten, ist folgender CLI-Befehl zu verwenden:

Config cli.png Konfiguration über die CLI
# execute update-now


Sobald das Certificate Bundle upgedatet wird, ist der Workaround anwendbar. Um sicherzustellen, dass das Expired Root CA nicht mehr verwendet wird, ist DNS Blackholing notwendig, welches FortiGate den Zugang zu apps.identrust.com blockiert.

Folgend ein Beispiel einer möglichen Konfiguration:

Config cli.png Konfiguration über die CLI
config system dns-database
edit "1"
set domain "identrust.com"
set authoritative disable
config dns-entry
edit 1
set hostname "apps"
set ip 127.0.0.1
next
end
next
end

*Hinweis: Sobald apps.identrust.com keine Expired CA Certificates mehr sendet, kann die Konfiguration entfernt werden
*Hinweis: Mittels Teil-Befehl "set authoritative disable" werden andere FQDNs (z.B. commercial.ocsp.identrust.com) weiterhin resolved


Sobald das oben-erwähnte DNS Blackholing aktiviert wird, können folgende (vorher getätigte) Änderungen wieder rückgängig gemacht werden:

1) Von Proxy zu Flow Inspection

2) Zwischenzeitliches Erlauben von Expired Certificates


Mehr Details zu den oberen Schritte findet man unter folgendem Link:

https://kb.fortinet.com/kb/documentLink.do?externalID=FD53305 -> "Technical Tip: Expiring Let’s Encrypt Certificates"


Wichtig: Falls das Problem weiterhin auftaucht, muss eventuell noch der IPS und WAD Cache gelehrt werden (siehe Details im oben-erwähnten KB-Artikel/Link)


Weitere, generelle Informationen findet man unter folgendem Link:

https://www.fortinet.com/blog/psirt-blogs/fortinet-and-expiring-lets-encrypt-certificates

Danke an Stefanie vom TAC Frankfurt, welche uns diese Information zugestellt hat
Achtung.svg

FortiAP Wireless Access Point upgrade Issue with HPE PoE Switches - CSB-210127-1


Wenn der Power over Ethernet (PoE)-Switch der Marke Hewlett Packard Enterprise (HPE) während eines Upgrades für mehr als 120 Sekunden keine LLDP-Antwort (Link Layer Discovery Protocol) empfängt, kann er die angeschlossenen FortiAP-Einheiten einseitig zurücksetzen oder ausschalten. Dies kann zum Anhalten des Upgrades auf halbem Weg abbricht und somit zu einem Upgrade-Fehler führen kann. Dieses Problem kann auftreten, wenn ein Upgrade versucht wird von einer beliebigen Software-Version 6.4.2 oder früher. Wenn die FortiAP-Einheit nicht mehr reagiert, wenden Sie sich bitte an den Technischen Support von Fortinet.


Es kann ein Problem geben, wenn man einen FortiAP an einem POE-Switch von Hewlett Packard Enterprise (HPE) angeschlossen hat und den FortiAP upgraden will. Das Problem zeigt sich, wenn der FortiAP welcher am upgraden ist, für mehr als 120 Sekunden keine LLPD Antwort ((Link Layer Discovery Protocol)) empfängt. Der FortiAP kann sich einseitig zurück setzen oder wird ausgeschalten. Dies kann zum stop oder Unterbruch des Upgrades führen und generiert so einen Upgrade Fehler. Dieses Problem kann auftreten wenn ein FortiAP von einer x-beliebigen Software bis 6.4.2 einen upgrade durchführt.

Falls dieses Problem auftritt und der FortiAP nicht mehr reagiert, kann man sich an den TAC Support von Fortinet wenden. (Ticket mit der Serienummer des betroffenen FortiAP eröffnen.

Betroffene Produkte:

  • Alle FortiAP Modelle der Serie E
  • FortiAP 431F und 433F

Betroffene OS Versionen:

  • FortiAP-W2 : 6.0 , 6.2, 6.4.0-6.4.2 (Für die E- Serie)
  • FortiAP : 6.4 buld 5760 (für F-Serie 431F und 433F)

Workaround Auf den HPE PoE-Switches müssen zuerst die LLDP-Funktion den Ports deaktivieren, auf welchem die FortiAP angeschlossen sind, welche upgegradet werden sollen.

Alternativ kann man auch global die LLPD Funktion deaktivieren.

gesamten Switch.


Konfiguration auf dem HPE Switch:

Konfiguration über CLI
lldp admin-status <PORT-LIST> txonly | rxonly | tx_rx | disable

lldp admin-status <POE Port an welchem der FortiAP angeschlossen ist> disable

Referenz: https://techhub.hpe.com/eginfolib/networking/docs/switches/K-KA-KB/15-18/5998-8160_ssw_mcg/content/ch06s12.html

Lösung

Fortinet löst dieses Problem für FortiAP der Serie E im FortiOS FortiAP-W2 6.4.3 Build 0451
Für die FortiAP 431F und 433F wird es im FortiAP 6.4.3 Build 0155 behoben.

Nachdem alle betroffenen FortiAPs erfolgreich auf die Firmware Version 6.4.3 oder höher aktualisiert wurden, kann die LLDP-Funktion auf den Switches wieder aktiviert werden.

Customer Support Bulletin CSB-210127-1 vom 27.Januar 2021


Achtung.svg

FortiGuard Webserver nicht erreichbar


Problem Beschreibung:

Wir haben viele Meldungen bekommen, dass wen auf FortiOS 6.4 upgegradet wird, es Probleme gibt die Webfilter Server der FortiGuard zu erreichen. Dadurch werden in den Firewall Regeln, welche einen Webfilter oder DNS Filter aktiv haben, diverse Anfragen verworfen. Dies liegt daran, dass die Anfrage einer Webseite welche Kategorie diese hat die FortiGuard Server keine Antwort senden und so diese Anfrage als unrated eingestuft wird. Je nach dem wie man jetzt den Webfilter/DNS-Filter konfiguriert hat, wird die Aktion ausgeführt, welche bei unrated konfiguriert wurde:

Fortinet-2857.jpg

Wenn man auf FortiOS 6.4 upgradet wird der Kommunikationsport von der FortiGuard von udp8888 oder udp53 auf tcp443 geändert.

Fortinet-2856.jpg

Diesen Port kann man im Webgui nicht mehr anpassen und muss über die CLI zurück auf udp 8888 oder udp 53 gesetzt werden.

Workaround

config system fortiguard
set fortiguard-anycast disable
set protocol udp
set port 8888
end

In gewissen Situationen musste die FortiGate neu gestartet werden, dass der Effekt eintraf.

Fortinet-2858.jpg
Achtung.png

Es ist darauf zu achten, dass bei einer allfälligen Perimeter Firewall ausgehend der Port UDP-8888 freigeschalten werden muss.


Fortinet ist dieses Problem bekannt und es wird daran gearbeitet eine Lösung zu finden.
Stand 3.11.2020

Achtung.svg

FortiOS 7.6.3 SSL-VPN to IPsec VPN Migration - CSB-250416-1


Beschreibung:
Mit der Einführung und Veröffentlichung von FortiOS 7.6.3 hat Fortinet die Unterstützung für VPNs konsolidiert, wobei bestehende SSL-VPN-Tunnelmodus-Konfigurationsoptionen nicht mehr funktionieren werden. Um ununterbrochenen Fernzugriff zu gewährleisten, musst Du Deine SSL-VPN-Tunnelmodus-Konfiguration vor dem Upgrade auf FortiOS 7.6.3 auf IPsec-VPN migrieren.

Wenn Du den SSL-VPN-Webmodus verwendest, bleiben Deine bestehenden Konfigurationen nach dem Upgrade erhalten und funktional, da sie als agentenloses VPN betrieben werden.

Es ist entscheidend, dass Du vor dem Upgrade auf FortiOS 7.6.3 die notwendigen Schritte unternimmst, um Deine VPN-Konfiguration anzupassen.

Fortinet hat umfassende Dokumentationen und Leitfäden bereitgestellt, die Dir dabei helfen können, diesen Übergang reibungslos zu gestalten. Stelle sicher, dass Du die Kompatibilität deiner aktuellen VPN-Lösungen überprüfst und gegebenenfalls die empfohlenen Anpassungen vornimmst.
Zusätzlich bietet FortiOS 7.6.3 eine Reihe von Verbesserungen und neuen Funktionen, die die Leistung und Sicherheit Deines Netzwerks weiter steigern werden. Das Upgrade auf IPsec-VPN ist nicht nur eine Notwendigkeit, sondern kann auch dazu beitragen, Deine Netzwerkarchitektur zukunftssicher zu gestalten.

Falls Du Unterstützung bei der Migration benötigst, steht Dir das ALSO-Team zur Verfügung, um Dich durch den Prozess zu führen und sicherzustellen, dass alle Deine Anforderungen erfüllt werden.
Durch eine rechtzeitige und sorgfältige Vorbereitung kannst Du sicherstellen, dass der Übergang zu FortiOS 7.6.3 ohne Unterbrechungen oder Komplikationen erfolgt.

Betroffene Produkte:
Alle FortiGate Modelle

Betroffenes FortiOS:
FortiOS 7.6.3

Dokumentation Fortinet:

Dokumentation in diesem Wiki:


add 01.05.2025 - 4Tinu