Fortinet:Support-Alerts

Fortinet Geräte welche mit der FortiGuard kommunizieren, benutzen den Verschlüsselungsalgorithmus "XOR" und statischen kryptographischen Schlüssel welcher schwach ist. Dadurch kann einem potentiellen Angreifer ermöglicht werden, Benutzeraktivitäten zu überwachen oder die Antworten der FortiGuard Server zu manipulieren.

Beschreibung:
Fortinet-Produkte, einschliesslich FortiGate und Forticlient, senden regelmässig Informationen an Fortinet-Server (DNS: guard.fortinet.com). Die Nachrichten werden mit einer XOR "Verschlüsselung" von einem statischen Schlüssel verschlüsselt.

Dabei werden folgende Ports benutzt:

• UDP Port 53, 8888 und TCP Port 80 (HTTP POST /fgdsvc)

Betroffene Produkte:

• FortiOS 6.0.7 und tiefer
• FortiClientWindows 6.0.6 und tiefer
• FortiClientMac 6.2.1 und tiefer

Lösung:

Upgraden auf:

• FortiOS 6.2.0
• FortiClientWindows 6.2.0
• FortiClientMac 6.2.2

Mehr Infos gibt es auf folgenden Seiten:

• https://sec-consult.com/en/blog/advisories/weak-encryption-cipher-and-hardcoded-cryptographic-keys-in-fortinet-products/
• https://seclists.org/bugtraq/2019/Nov/38
• https://fortiguard.com/psirt/FG-IR-18-100
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-9195

Zusammenfassung:

Eine Schwachstelle für unzulässige Autorisierung im SSL-VPN-Webportal kann es einem nicht authentifizierten Angreifer ermöglichen, das Passwort eines SSL-VPN-Webportalbenutzers über speziell entwickelte HTTP-Anfragen zu ändern.

Betroffene Produkte

• FortiOS 6.0.0 to 6.0.4
• FortiOS 5.6.0 to 5.6.8
• FortiOS 5.4.1 to 5.4.10

NUR wenn das SSL VPN Webportal aktiviert ist.

Die Versionen 5.4.0 und tiefer (inklusive 5.2) sind nicht betroffen.

Lösung:

• Upgraden auf FortiOS 5.4.11, 5.6.9, 6.0.5, 6.2.0 oder höher
• Fortinet empfiehlt auf folgende FortiOS upzugraden: 5.4.13*, 5.6.11, 6.0.6 oder 6.2.2
• https://kb.fortinet.com/kb/microsites/microsite.do?cmd=displayKC&docType=kc&externalId=FD46513

* Lies in den Release Notes die Ausnahmen!!

Workaround:

Deaktivieren des SSL-VPN Webportal mit dem folgenden CLI Befehl:

config vpn ssl settings
unset source-interface
end

Mehr Infos gibt es auf folgenden Seiten:

• https://fortiguard.com/psirt/FG-IR-18-389
• https://www.heise.de/security/meldung/Fortinet-schliesst-mehrere-Sicherheitsluecken-in-FortiOS-und-Co-4432813.html
• https://kb.fortinet.com/kb/microsites/microsite.do?cmd=displayKC&docType=kc&externalId=FD46513

Zusammenfassung:

Eine Schwachstelle bei der Pfadüberquerung im FortiOS SSL VPN-Webportal, kann einem nicht authentifizierten Angreifer ermöglichen, FortiOS-Systemdateien über speziell entwickelte HTTP-Ressourcenanforderungen herunterzuladen.
https://fortiguard.com/psirt/FG-IR-18-384

Auswirkungen:

Offenlegung von Informationen

Betroffene Produkte

• FortiOS 5.6.3 bis 5.6.7
• FortiOS 6.0.0.0 bis 6.0.4

• Andere Versionen sind nicht betroffen.

Lösung:

• Aktualisieren auf FortiOS 5.6.8, 6.0.5 oder 6.2.0
• Fortinet empfiehlt auf folgende FortiOS upzugraden: 5.6.11, 6.0.6 oder 6.2.2
• https://kb.fortinet.com/kb/microsites/microsite.do?cmd=displayKC&docType=kc&externalId=FD46513

Workaround

config vpn ssl settings
unset source-interface
end

Mehr Infos gibt es auf folgenden Seiten:

• https://fortiguard.com/psirt/FG-IR-18-384
• https://www.heise.de/security/meldung/Fortinet-schliesst-mehrere-Sicherheitsluecken-in-FortiOS-und-Co-4432813.html
• https://kb.fortinet.com/kb/microsites/microsite.do?cmd=displayKC&docType=kc&externalId=FD46513

Es wurde eine Sicherheitslücke im WPA2 Protokoll entdeckt. Diese Sicherheitslücke erlaubt es Angreifern verschlüsselte Informationen mitzulesen. Die Sicherheitslücke ist daher Hersteller unabhängig, es sind sämtliche WPA/WPA2 Produkte betroffen.

Relevante CVE sind:

• CVE-2017-13077: reinstallation of the pairwise key in the 4-way handshake
• CVE-2017-13078: reinstallation of the group key in the 4-way handshake
• CVE-2017-13079: reinstallation of the integrity group key in the 4-way handshake
• CVE-2017-13080: reinstallation of the group key in the group key handshake
• CVE-2017-13081: reinstallation of the integrity group key in the group key handshake
• CVE-2017-13082: accepting a retransmitted FT Reassociation Request and reinstalling the pairwise key while processing it
• CVE-2017-13084: Reinstallation of the STK key in the PeerKey handshake.
• CVE-2017-13086: reinstallation of the Tunneled Direct-Link Setup (TDLS) PeerKey (TPK) key in the TDLS handshake.
• CVE-2017-13087: reinstallation of the group key (GTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame.
• CVE-2017-13088: reinstallation of the integrity group key (IGTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame.

Betroffene Systeme von Fortinet:

       FortiGate
       • FortiGate WiFi Modelle sind nur betroffen wen sie im WiFi Client Modus betrieben werden.
       Fortigates sind nicht von folgenden CVE betroffen:
       • CVE-2017-13082
       • CVE-2017-13084 
       • CVE-2017-13086 
       • CVE-2017-13087 
       • CVE-2017-13088 	
       		
       Betroffene OS:
       • FortiOS 5.6.2 und tiefere Versionen
       • FortiOS 5.4.5 und tiefere Versionen
       • FortiOS 5.2.11 und tiefere Versionen
       • Tiefere FortiOS Branches sind alle betroffen

       FortiAP
       • Nur FortiAP sind betroffen welche als mesh leaf arbeiten.
       FortiAP sind nicht von folgenden CVE betroffen:
       • CVE-2017-13082
       • CVE-2017-13084
       • CVE-2017-13086
       • CVE-2017-13087
       • CVE-2017-13088 		
       Betroffene OS:
       • FortiAP 5.6.0
       • FortiAP 5.4.3 und tiefere
       •  FortiAP 5.2.6 und tiefere
       • Tiefere FortiOS Branches sind alle betroffen

       MeruAP
       Es sind nur Meru APs betroffen wen sie im Mesh Modus und SAM (Service assurance module) eingeschaltet ist.	
       Meru AP sind nicht von folgenden CVE betroffen:
       • CVE-2017-13081
       • CVE-2017-13084
       • CVE-2017-13086
       • CVE-2017-13087
       • CVE-2017-13088 
       Betroffene OS:
       • Meru AP 8.3.3 und tiefere
       • Meru AP 8.2.7 und tiefere
       •  alle 8.0 Versionen	

       FortiWLC:
       FortiWLC ist von folgenden CVE nicht betroffen:
       • CVE-2017-13081
       • CVE-2017-13084
       • CVE-2017-13086
       • CVE-2017-13087
       • CVE-2017-13088 
       Betroffene OS:
       • FortiWLC 8.3.3 und tiefer
       • FortiWLC 8.2.7 und tiefe
       • alle FortiWLC Versionen 8.0 und 8.11

Lösungen:

       FortiGate
       • Upgraden auf 5.6.2 Spezialbuild* oder upgraden auf die kommenden FortiOS: FortiOS 5.2.12, 5.4.6 or 5.6.3
       
       *Der Spezialbuild kann über den Lokalen TAC Support (basierend auf FortiOS 5.6.2) bezogen werden. 

       FortiAP
       • Upgraden auf 5.6.1 oder upgraden auf die kommenden FortiOS: FortiOS 5.2.7, 5.4.4   

       Meru AP:
       • Upgraden auf 8.3.3, 8.2.7 oder 7.0.11

       FortiWLC
       • Upgraden auf 8.3.3 oder 8.2.7
  

Mehr Infos gibt es auf folgenden Seiten:

• http://www.fortiguard.com/psirt/FG-IR-17-196
• https://www.heise.de/security/meldung/WPA2-Forscher-entdecken-Schwachstelle-in-WLAN-Verschluesselung-3862379.html
• https://www.heise.de/security/meldung/Details-zur-KRACK-Attacke-WPA2-ist-angeschlagen-aber-nicht-gaenzlich-geknackt-3862571.html
• https://www.krackattacks.com/

FortiOS Local Admin Password Hash Leak Vulnerability

       Impact:
       Information leak

       Affected Products:
       FortiOS 5.2.0-5.2.9, 5.4.1

       Solutions:
       - Upgrade auf FortiOS 5.4.2 GA
       - Upgrade auf FortiOS 5.2.10 GA

       References:
       http://www.fortiguardcenter.com/advisory/FG-IR-16-050

Auf allen Linux basierenden System die eine "standard GNU C Library (aka glibc)" benützen, kann über die Library Funktion "gethostbyname()" und über eine "heap overflow condition" auf dem Zielsystem ein Exploit mit bestimmten Paramentern ausgeführt werden.

       Impact:
       Diese Möglichkeit besteht Lokal sowie Remote dh. über die Applikation zB einem Mail Server. Die Funktion "gethostbyname ()" 
       wird benützt um den Namen zB www.fortinet.com aufzulösen um so die entsprechende IP zu ermitteln (resolve hostname to IP).

       Affected Products:
       Alle FortiOS Versionen die eine "embeded" und betroffene "glibc" Version benützen. Wie auch immer die betroffene Funktion wird
       nicht durch den FortiOS Code selber aufgerufen - sondern über Drittprodukte - und somit ist das FortiOS nicht direkt betroffen.
       Dennoch folgende Produkte benützen eine "glibc" Version die betroffen ist, jedoch konnte durch interne Test's diese Möglichkeit
       eines solchen Angriffs ausgeschlossen werden:
       
       FortiManager 
       FortiAnalyzer 
       FortiMail 
       FortiVoice 
       FortiRecorder 
       AscenLink 
       FortiSanbbox 
       FortiAuthenticator 
       FortiCache 
       FortiSwitch 
       FortiWAN 
       FortiDDoS 
       FortiADC D series (note: E series is not vulnerable) 

       References:
       http://www.fortiguard.com/advisory/FG-IR-15-001/
       https://www.qualys.com/research/security-advisories/GHOST-CVE-2015-0235.txt 

       Solutions:
       Wie schon erwähnt unter "Affected Products" sind die genannte Produkte resp. FortiOS nicht betroffen. Nichts desto trotz
       werden für die betroffenen Produke reguläres Update's released dh. die betroffene "glibc" Library werden auf den neusten
       Stand gebracht. In der Zwischenzeit steht über die IPS Funktion auf einer FortiGate die folgende Signature zur Verfügung:
       
       Glibc.Gethostbyname.Buffer.Overflow 
       
       Zusätzlich sollte verhindert werden, dass für die genannten Produkte das Administration Interface vom Internet her nicht
       erreichbar ist.

Google hat eine weitere Schwachstelle im SSLv3 Protokoll entdeckt. Die "Poodle" benannte Sicherheitslücke ermöglicht es Angreifern Teile von SSLv3 verschlüsselten Verbindungen zu entschlüsseln. Theoretisch ist es einem Angreifer so möglich, aktive Sitzungen eines Anwenders zu kapern oder sogar dessen Account zu übernehmen. Wir empfehlen Ihnen die nachfolgenden Informationen gut durchzulesen und die nötigen Schritte zu veranlassen:

       Impact:
       Der auf einer Man-in-the-Middle (MitM) Postion basierende Angriff passiert in zwei Stufen: In einem ersten Schritt erzwingt 
       der Angreifer durch gezielte Manipulation des Verbindungsaufbaus einen Verbindung nach dem Protokollstandard SSLv3. Dieser 
       Schritt basiert auf der Abwärtskompatibilität der Kommunikationspartner. In der Aufbauphase einer verschlüsselten Verbindung
       handeln diese die verwendete Sicherheits-Protokoll-Version aus (heute normalerweise TLS 1.2). Dabei manipuliert der Angreifer 
       aus seiner MitM Position die Aufbauphase so, dass es für die Kommunikationspartner so aussieht, als würde der einte nur die 
       alte Sicherheits-Protokoll-Version SSLv3 unterstützen. Als Konsequenz etablieren diese eine Verbindung welche mit dem alten 
       Sicherheits-Protokoll SSLv3 verschlüsselt wird. In einem zweiten Schritt nutzt der Angreifer das SSLv3 Problem 'MAC-than-Encrypt' 
       aus um einzelne Bytes der ausgetauschten Daten zu dechiffrieren.

       Affected Products:
       FotiGates in der Default Konfiguration (HTTPS GUI, bei der verwendung folgender Features: VIP load-balance, SSL VPN, wanopt, SIP SSL) 
       FortiMail in der default Konfiguration (HTTPS GUI, mail ssl services: SMTPS, IMAPS, POP3S) 
       FortiAnalyzer 
       FortiManager 
       FortiVoice 

       References:
       http://googleonlinesecurity.blogspot.fr/2014/10/this-poodle-bites-exploiting-ssl-30.html 
       https://www.openssl.org/~bodo/ssl-poodle.pdf
       http://www.heise.de/security/artikel/Poodle-So-funktioniert-der-Angriff-auf-die-Verschluesselung-2425250.html

       Solutions:
       Die Sicherheitslücke kann bei den FortiGates und bei FortiMail durch die Deaktivierung von SSLv3 für die 5 Server welche SSL verwenden geschlossen werden:         
       
       Einstellungen am FortiOS (FortiGates): 
       
       GUI (openssl):    
       # config system global  
       # set strong-crypto enable  
       # end          
       
       (allenfalls verwendete Features:) 

       VIP load-balance (fts):
       # config firewall vip   
       # edit "your_vip"  
       # set ssl-min-version tls-1.0  
       # end          
       
       SSL VPN:
       # config vpn ssl settings
       # set sslv3 disable  (enabled per default)
       # end        
       
       wanopt:     
       # config wanopt ssl-server   
       # edit <profile>  
       # set ssl-min-version tls-1.0  
       # end        
       
       SIP SSL (not supported on low end units):
       # config voip profile
       # edit <profile>    
       # config sip
       # set ssl-mode full
       # set ssl-min-version tls-1.0        
       
       
       Einstellungen an der Fortimail:        
       
       All:
       # config system global
       # set strong-crypto enable
       # end        
       
       Zum Zeitpunkt der Artikelerfassung war einzig der Internet Explorer 6 bekannt, welcher nach der Deaktivierung von SSLv3 
       möglicherweise Kombatibiltätsprobleme aufweisen könnte. Da es sich um eine  alte Browserversion handelt (aktuellste IE 
       Version: 11) werden diese Kombatibilitätsprobleme vernachlässigt. D.h. es ist für die Fortigates (4.3.X, 5.0.X, 5.2.X) 
       und für die Fortimail (5.0.X und 5.2.X) keine Patchung vorgesehen. Ein allfälliger Patch für die anderen betroffenen 
       Produkte wird aktuell noch überprüft.         
       
       Eine alternative Lösung ist die Deaktivierung von SSLv3 im jeweiligen Browser (HowTo gemäss Browser Dokumentation).

In der weit verbreiteten GNU Bourne Again Shell (Bash) wurde eine gravierende Schwachstelle gefunden. Die "Shellshock" genannte Sicherheitslücke ermöglicht es Angreifern unter gewissen Umständen die Ausführung von Code auf dem angegriffenen System. Wir empfehlen Ihnen die nachfolgenden Informationen gut durchzulesen und die nötigen Schritte zu veranlassen:

       Impact:
       Der Exploit betrifft die GNU Bash Shell Versionen 1.14.0 bis 4.3. Bei betroffenen, auf unix basierenden, Systemen kann der Angreifer ausführbarer Code in einer Umgebungsvariable abspeichern und    
       diesen dann ausführen. Die Platzierung von ausführbarem Code in der Umgebungsvariable kann dabei lokal oder von remote vorgenommen werden. Die Erstellung oder Manipulation von Umgebungsvariablen von 
       remote ist theoretisch über verschiedene Funktionen möglich (z.B. Manipulation von HTTP Client Request Headern, SSH Servern, DHCP Clients, etc.). Aufgrund der weiten Verbreitung der Bash Shell 
       wird dieser Exploit als kritisch eingestuft!

       Affected Products:
       FortiAnalyzer (versions 5.0.X and 5.2.0) - authentication required to exploit
       FortiAuthenticator - authentication required to exploit
       FortiDB
       FortiManager (versions 4.3, 5.0.X and 5.2.0) - authentication required to exploit
       AscenLink v7.X

       References:
       http://www.fortiguard.com/advisory/FG-IR-14-030/
       http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-6271

       Test:
       Um zu testen ob ein Unix basiertes System betroffen ist, kann folgender Befehl ausgeführt werden:
       
       # env var='() { :;};echo Vulnerable' /bin/bash -c /bin/true
       
       Oder, falls das System nicht über /bin/env verfügt:
       
       # export var='() { :;}; echo Vulnerable'; /bin/bash -c /bin/true
       
       Wenn "Vulnerable" angezeigt wird, ist ihr System betroffen. 

       Solutions:
       Fortinet wird die Sicherheitslücke im Rahmen des nächsten Patches für die betroffenen Systeme schliessen.

       Workarounds:
       Durch Fortigate erreichbare Systeme können mit der IPS Signatur "Bash.Function.Definitions.Remote.Code.Execution" geschützt werden. Diese IPS Signatur ist im IPS Update 5.552 enthalten
       (das Update wurde am 25. September 2014 via FDN Server bereitgestellt). Voraussetzung dafür ist ein aktiver FortiGuard Maitenance Vertrag.
       
       Für bereits erkannte Angriffsversuche wurde ausserdem eine Antivirus Signatur bereitgestellt. Diese wird via Hot Update Funktion in der AV DB 22.863 bereitgestellt.
       
       Der aktuelle Stand der IPS-Attack- und AV-Definitions-Datenbank kann mit folgendem Befehl angezeigt werden:
       
       # get system fortiguard-service status
       
       Das Update der IPS- und AV-Definitionen kann mit folgendem Befehl manuell angestossen werden:
       
       # execute update-now

Die OpenSSL Verantwortlichen haben folgenden Advisory herausgegeben die folgende Vulnerability beschreiben:

       https://www.openssl.org/news/secadv_20140605.txt
       
       SSL/TLS MITM vulnerability (CVE-2014-0224)
       DTLS recursion flaw (CVE-2014-0221)
       DTLS invalid fragment vulnerability (CVE-2014-0195)
       SSL_MODE_RELEASE_BUFFERS session injection or denial of service (CVE-2010-5298)
       Anonymous ECDH denial of service (CVE-2014-3470)

       Impact
       CVE-2014-0224 Erlaubt einem Angreifer in einem Network anhand einer "man-in-the-middle" Attacke die SSL Komunikation zu entschlüsseln.
       CVE-2014-0221 Erlaubt es einem Angreifer einem DTLS Client anhand eines falschen "handshakes" ein "crash" auszulösen.
       CVE-2014-0195 Erlaubt eine "buffer overrun attack" wenn falsche DTLS fragmente zu einem DTLS Client oder Server gesendet werden
       CVE-2014-0198 und CVE-2010-5298 Erlaubt eine "denial of service" Attacke unter bestimmten Umständen dh. wenn "SSL_MODE_RELEASE_BUFFERS" aktiviert ist.
       CVE-2014-3470 Erlaubt einem Angreifer einen "denial of service" Attacke zu "trigger" (in SSL Clients) wenn "anonymous ECDH ciphersuites" aktiviert ist. 
       CVE-2014-0076 Kann genutzt werden um "ECDSA nonces on multi-user systems" herauszufinden indem "timing attacks in CPU L3 caches" ausgeführt werden.
       
       NOTE Von "CVE-2014-3470 und CVE-2014-0076" sind die Fortinet Produkte nicht betroffen

       Affected Products
       FortiOS, FortiClient, FortiSwitch, FortiAnalyzer, FortiManager, FortiMail, FortiAP, FortiVoiceOS,
       FortiWeb, FortiAuthenticator, FortiDNS, FortiDDoS, FortiCache, FortiRecorder, FortiSandbox,
       FortiADC, FortiADC-E, Equalizer LX/GX, AscenLink 

       Risk
       - FortiOS 4.x und 5.x sind betroffen bei CVE-2014-0224 und CVE-2014-0195 (betreffend CAPWAP Service). 
       - Zusätzlich in FortiOS 5.x SSL VPN und HTTPS Administration sind betroffen betreffend CVE-2014-0198 und CVE-2010-5298.
       - FortiAP's sind betroffen bei CVE-2014-0224, CVE-2014-0221 und CVE-2014-0195.
       - Alle anderen Produkte die unter "Affected Products" aufgeführt sind, sind durch CVE-2014-0224 betroffen.

       Workarounds:
       FortiGuard hat eine IPS Signature "released" unter dem Namen "OpenSSL.ChangeCipherSpec.Injection" welche einen Schutz gegen CVE-2014-0224 bietet.
       Auf FortiGate's auf denen keine FortiAP's benützt resp. über CAPWAP verwaltet werden sollte das CAPWAP Protokoll komplett deaktiviert werden um
       dem Vulnerability CVE-2014-0195 entgegenzutreten. Wenn keine FortiAP's benützt/verwaltet werden, kann der Wireless Controller der über CAPWAP die
       FortiAP's verwaltet komplett deaktiviert werden:
       
       # config system global
       # set wireless-controller [enable / disable]
       # end

       Firmware Updates
       Fortinet setzt alles daran Software Fixes gegen diese Vulnerabilities so schnell wie möglich zu releasen!

Nachfolgend der offizielle Link zur Fortinet Vulnerability Advisory:

       http://www.fortiguard.com/advisory/FG-IR-14-018/

In der OpenSSL Version 1.0.1 wurde ein gravierender Bug gefunden der als "Hearbleed" bekannt ist. Wir empfehlen Ihnen die nachfolgenden Informationen gut durchzulesen und die nötigen Schritte zu veranlassen:

       Impact:
       Beim "Heartbleed" Bug handelt es sich um einen "gravierenden" Bug in der populären "OpenSSL" cryptographic Software dh. viele Hersteller benützen
       diese Software resp. Library um Verschlüsselungs Methoden für zB SSL-VPN Portal zur Verfügung zu stellen. Dabei ist zu beachten das die OpenSSL 
       Version 0.9.8 nicht von diesem Bug betroffen ist sondern die Version 1.0.1f und tiefer. Dieser Bug erlaubt unter "normalen" Umständen über SSL/TLS 
       geschützte Informationen von zB WebServer, MailServer oder VPN's auszulesen (Memory). Dieser "Heartbleed" Bug erlaubt es über normalen Zugriff zB 
       auf den WebServer das Memory auszulesen obwohl die Informationen über die OpenSSL Software geschützt wird. Über einen "Heartbleed" tauschen 
       Kommunikationspartner Statusinformationen aus, vor allem um festzustellen, ob das Gegenüber noch aktiv ist. Durch eine fehlende Überprüfung 
       eines Speicherzugriffs kann ein Angreifer dabei bis zu 64 KByte der Gegenstelle auslesen (Memory). Somit wird der Zugriff ermöglicht auf die 
       "secret keys" (private) die wiederum benutzt werden um die Informationen zu Verschlüsseln. Dies wiederum ermöglicht die Informationen durch 
       diese "secret keys" zu entschlüsseln und so an geschützte Informationen zu gelangen wie Passwörter etc. und somit können diese vom Server 
       entwendet werden. Tests haben gezeigt, dass durch diesen Angriff "secret keys" entwendet werden können und dadurch an geschützte Informationen 
       zu kommen die unter normalen Umständen durch diese "secret keys" geschützt werden.

       Affected Products:
       OpenSSL 1.0.1, 1.0.1:beta1/2/3 1.0.1a 1.0.1b 1.0.1c 1.0.1d 1.0.1e 1.0.1f (0.9.8x as 1.0.0x not affected)
       FortiGate (FortiOS) 5.0.0 bis 5.0.6
       FortiClient 5.x
       FortiAuthenticator 3.x
       FortiMail 4.3.x and 5.x
       FortiVoice models 200D, 200D-T und VM
       FortiRecorder
       FortiADC D-Series models 1500D, 2000D und 4000D
       FortiADC E-Series 3.x
       Coyote Point Equalizer GX / LX 10.x
       FortiDDoS 4.x
       FortiDNS
       AscenLink v6.5 and 7.0

       References:
       http://heartbleed.com/
       http://www.fortiguard.com/advisory/FG-IR-14-011/
       http://www.us-cert.gov/ncas/alerts/TA14-098A  

       Solutions:
       Fortinet wird für FortiGate's am 9. April 2014 01:00 eine neue FirmWare/Image zur Verfügung stellen!
       Für FortiAuthenticator sowie FortiMail wird eine neue Firmware/Image am 11. April 2014 released. 

       Workarounds:
       Die betroffenen MailServer, WebServer etc. können über die IPS (Intrusion Prevention System) geschützt werden und zwar über eine
       Custom Signature die folgendermassen aussieht:
       
       NOTE Die IPS Signature muss nicht mehr manuell erstellt werden, da diese mit der IPS Signaure Release Update 4.476 nun
            auf der FortiGate zur Verfügung steht. Dies ist jedoch nur der Fall wenn der Device über einen aktiven FortiGuard
            Maitenance Vertrag verfügt. Die IPS Signature in diesem besagten Update mit folgenden Namen zur Verfügung:
            
            "OpenSSL.TLS.Heartbeat.Information.Disclosure" 
       
       # config ips custom
       # edit "OpenSSL.TLS.Heartbeat.Information.Disclosure-custom.All"
       # set action block
       # set comment 
       # set signature "F-SBID( --attack_id 4982 \
       # --name \"OpenSSL.TLS.Heartbeat.Information.Disclosure-custom.All\"; \
       # --protocol tcp; --src_port 443; --flow from_server,reversed; \
       # --pattern \"|18 03|\"; --context packet; --within 2,context; \
       # --byte_test 2,>,100,1,relative;  )"
       # next
       # end
       
       Diese Custome Signature muss nachträglich im entsprechenden IPS Profile eingebunden werden:
       
       # config ips sensor
       # edit "ssl.heartbleed"
       # config entries
       # edit 1
       # set action reset
       # set rule 4982
       # set status enable
       # next
       # end
       # next
       # end
       
       Danach muss der entsprechenden IPS Sensor zur entsprechenden Policy hinzugefügt werden:
       
       # config firewall interface-policy
       # edit 0
       # set interface "wan1"
       # set srcaddr "all"
       # set dstaddr "all"
       # set service "HTTPS"
       # set ips-sensor-status enable
       # set ips-sensor "ssl.heartbleed"
       # next
       # end

       Hinweis:
       Es muss berücksichtigt werden, dass auf einem WebServer, MailServer usw. bereits ein "Heartbleed" durchgeführt wurde und somit
       die "secret key" Informationen ausgelesen wurden. In so einem Fall muss nach dem "Patchen" des System das "Private Certificate"
       erneuert werden und event. darauf basierenden "Public Certificates" neu verteilt werden.

Offizielle Informationen betreffend diesem Cert findet man im offiziellen Customer Support Bulleting der Fortinet:

       Fortinet:Support-Alerts#Fortinet_Information_Disclosure_Vulnerability_in_OpenSSL.3F

Fortiweb 5.0.3 und frühere Versionen enthalten ein "cross-site-scripting Vulnerability! Betroffen davon ist ein "filter" Paramenter in der folgenden URL:

       /user/ldap_user/add

       Impact:
       Durch diesen Vulnerability ist es möglich, dass ein unauthentifizierter Angreifer über diese URL und über den Browser des Endusers ein beliebiges Script zur Ausführung bringen kann.

       Affected Products:
       FortiWeb 5.0.3 oder früher.

       Solutions:
       Upgrade auf FortiOS 5.1.0.

       Refrences:
       http://www.fortiguard.com/advisory/FG-IR-14-002/

Einem authentifizierten Administratoren ist es möglich ein "Java Injected Script" in ein spezifisches Feld auf dem Mgmt. Web Interface von Fortiweb zu speichern. Dieses "Java Injected Script" kann durch einen anderen Administrator über das spezifische Feld eingesehen werden.

       Affected Products:
       FortiWeb 5.0.3 oder früher.

       Solutions:
       Upgrade auf FortiOS 5.0.4.

       Refrences:
       http://www.fortiguard.com/advisory/FG-IR-14-001/

Am 15. Dezember 2013 hat Fortinet betreffend FortiAuthenticator eine Warnung rausgegeben (CVE-2013-6990) die folgendes umfasst:

       Impact:
       Authentifizierte Admin User ist es möglich Zugriff auf die Shell des Systems zu erlangen! Dadurch können diese Admin
       User System Kommandos ausführen, Zugriff auf das Filesystem erlangen und das im vollen Umfang (read/write).

       Affected Products:
       FortiAuthenticator 1.x and 2.x 

       Solutions:
       Upgrade auf den FortiAuthenticator 3.0 empfohlen.
       
       NOTE Bei solch einem Upgrade ist folgendes zu berücksichtigen:
       
       FortiAuthenticator:FAQ#Upgrade

Multiple CSRF (Cross-Site Request Forgery) vulnerabilities exist in FortiGate because GUI pages are not protected by CSRF token. It could allow remote attackers to hijack the authentication of arbitrary users under certain conditions:

       http://www.fortiguard.com/advisory/FGA-2013-22/ 

       Affected Products:
       FortiGates running FortiOS 4.3.12 and prior versions, FortiGates running FortiOS 5.0.2 and prior versions 

       Solutions:
       Upgrade FortiGates to FortiOS version 4.3.13 or 5.0.3. 

       References:
       http://packetstormsecurity.com/files/122216/Fortigate-Firewall-Cross-Site-Request-Forgery.html

       Was ist eine CSRF (Cross-Site Request Forgery):
       Basically an attacker could but a malicious script somewhere. If the browser used to configure FGT is running that
       script while logged-on in FOS GUI in anther windows or tab, the attackers script can control the FGT with the 
       logged-on users rights in the background. Since this vulnerability can only be exploited in this certain situation, 
       we suggest to NOT have any other tabs or windows open in the browser used to configure the FGT.

Bis anhin hat Fortinet Access Points ausgeliefert basierend auf der MAC Adresse "00:09:0F" (Stand April 2013). Diese MAC Adresse ist direkt verknüpft mit der FortiOS Software auf de Access Points für vers. Funktionen. Nun aus nicht bekannten Gründen werden neu ausgelieferte Fortinet Access Points mit der MAC Adresse "08:5B:0E" ausgeliefert. Dies kann (muss nicht) zu Problemen führen im Betrieb da wie schon erwähnt die MAC Adresse mit dem FortiOS verknüpft ist. Um diese Probleme zu verhindern ist zu beachten mind. FortiOS 5.0.3 auf den Access Points einzusetzen da in diesem Patch Release dem Umstand der neuen MAC Adresse Rechnung getragen wird. Wenn dem nicht Rechnung getragen wird dh. neue MAC Adresse mit FortiOS 5.0.2 auf den Access Points betrieben wird kann dies zu Problemen führen. Nachfolgendes Dokument wurde von Fortinet betreffend diesem Umstand als "Customer Support Bulletin" herausgegeben:

       Datei:CSB-130403-1-FortiAP-MAC-Addresses.pdf

Wir bitten allen Kunden zukünftig auf den Access Points mind. FortiOS 5.0.3 einzusetzen. Wenn die Access Points im Zusammenhang mit FortiGate FortiOS 4 MR3 eingesetzt werden siehe folgender Artikel:

       FortiAP:FAQ#Welche_Firmware_sollte_auf_einer_FortiGate_und.2Foder_FortiAP_benutzt_werden.3F

Fortinet hat am 7. May 2013 die neue Firmware für FortiGate's FortiOS 4 MR3 Patch13 zur Verfügung gestellt und hat diese am gleichen Tag zurückgezogen. Probleme gab es im IPSec Bereich (Phase 2) durch die Definition eines Subnets. Als Workaround kann in der Phase2 der Selektor die IP als Bereich definiert werden zB. 192.168.1.1-192.168.1.255. Ist der Selektor als IP in der Form 192.168.1.0/24 definiert kommt es zu Problemen. Weitere Informationen im offiziellen "Customer Support Bulletin" von Fortinet:

       Datei:CSB-130507-1-FortiOS-IPSec-VPN.pdf

Wir bitten alle Kunden diese Release nicht zu benutzen und falls bereits angewendet ein Rollback durchzuführen oder als letzte Möglichkeit den Workaround anzuwenden!

       NOTE Am 17. Mai 2013 wurde Patch 14 Released. In diesem Release wurde der Fehler
            korrigiert. Wir bitten alle Kunden die den Patch 13 verwenden mit dem 
            Workaround ein Upgrade auf Patch 14 durchzuführen!

Bei unten aufgeführten FortiGate Modellen/FortiOS Versionen kann es bei 1G und 10G Ports zu bestimmten Symptomen kommen. Dies speziell nach 248 Tagen dh. Diese Symptome treten nicht per Standard auf sondern treten nur auf wenn auf FortiOS Ebene eine bestimmten Konstellation eintritt. folgende Symptome können auftreten:

       Link negotiation errors
       Port status down
       Port satus up but no traffic passing
       Link failure
       Port interface statistic rx/tx not correct

Folgende Modelle und Module sind betroffen:

       FortiGate: 600C/800C/1000C/1240B/3040B/3140B/3240C/3950B/3951B/5001B/5101C/5203B
       FortiGate FMC Module: C20/F20/XD2
       FortiCarrier: 3950B/3951B/5001B

Folgende FortiOS Pachlevel sind betroffen:

       FortiOS 4.0 MR2 GA to Patch Release 12 (4.2.12)
       FortiOS 4.0 MR3 GA to Patch Release 8 (4.3.8)
       FortiOSCarrier 4.0 MR2 GA to Patch Release 12 (4.2.12)
       FortiOSCarrier 4.0 MR3 GA to Patch Release 8 (4.3.8)

Ein Workaround ist auf den letzen FortiOS Patchlevel upzugraden. Wenn das Symptome auftritt sollte für eine sofortige Lösung der Device neu gestartet werden! Folgende Support Bulletin von Fortinet gibt Auskunft über dieses Issue:

       Datei:CSB-270513-1-port-down-248-days-1.pdf

Folgende Builds basierend auf "4.0 MR3 Patch 6" des FortiAnalyzer wurden FIPS und [CC] Zertifiziert:

       FortiAnalyzer-100C, 400B, 400C, 1000C, 2000B, 4000B

Weitere Informationen können über das offizielle Dokument des Support Bulletins entnommen werden:

       Datei:CSB-130507-2-FAZ-40MR3P6-FIPS-CC-Certified-Firmware.pdf

Am 19. Juli 2013 wurde durch Fortinet über das FortiGuard Environment ein Antivirus Definition File Update bereitgestellt mit der Version 17.940! Diese Version des Antivirus Definiton File beinhaltete ein "False Positive". Dies bedeutet das Microsoft File "tcpip.sys" wurde fälschlicherweise als Virus erkannt. Durch diesen "False Positive" wurde das File - sofern auf dem Client ein "scheduled scan" durchgeführt wurde - in die Quarantine verschoben. Effekt daraus war, dass die Netzwerkverbindung des betroffenen Client - durch das verschieben des genannten Files - unterbrochen wurde sowie nicht mehr funktionierte da dieses File "tcpip.sys" benötigt wird auf einem Client um eine erfolgreichen Netzwerkverbindung zu etablieren.

Dieser "False Positive" wurde durch das Defintion File Update am 22. Juli 2013 mit der Version 17.943 korrigiert!

       Workaround um den "False Positvie" zu beheben:
       
       Kontrollieren Sie im FortiClient ob das File "tcpip.sys" sich in der Quarantine befindet:
       
       FortiClient Console > Klicke auf AntiVirus > danach wähle "Threats Quarantined"
       
       Befindet sich das File "tcpip.sys" in der Quarantine führe folgendes durch:
       
        1. Download the TCPIP-fix.zip file from the following location and copy to a USB flash drive or similar media:
          
           ftp://ftp-temp:r3triev3@support.fortinet.com/dropbox/CSB_Forticlient_17.940/TCPIP-fix.zip
          
        2. Disable the "Real Time Protection" from the FortiClient Console.
        3. Shutdown the FortiClient software.
        4. Open the cmd prompt with "Run As Administrator" privilege.
        5. Perform the command "net stop fortishield".
        6. Transfer the TCPIP-fix.zip to the workstation from the USB flash.
        7. Extract TCPIP-fix.zip into a folder.
        8. Using the command line interface, browse to the extracted folder.
        9. Perform "runme.bat" and wait for the script to finish. You will see the following message in the CMD window:
        
           Please reboot when Windows reports that it has finished installing adapters.
           Press any key to continue . . .
        10. In the Windows tray, you will see a message "Installing device driver software" and then a second message "Your device is ready to use".
        11. Reboot the PC.
        12. After the reboot and the network is restored, update the FortiClient AV signatures.
        13. Re-enable "Real Time Protection" from the FortiClient Console.

Weitere Informationen können über das offizielle Dokument des Support Bulletins entnommen werden:

       Datei:CSB-130724-1 FCT AV package network issue.pdf

Bei WebServer'n die über FortiWeb geschützt werden -im Zusammenhang mit dem auf dem FortiWeb aktivierten Service "IP Reputation"- kommt es zu "Connection Timouts". Dieser Fehler stammt vom FortiOS das auf dem FortiWeb eingesetzt wird. Die Auswirkungen sind Performance Einbussen die den Zugriff auf die Web Server die über FortiWeb geschützt werden verlangsamen. Wenn dieser Umstand eintrifft wird auf der Console folgendes angezeigt:

       get IP intelligence hash node error(1000000)

Betroffen von diesem Fehler sind folgende FortiOS im Zusammenhang mit FortiWeb:

       5.0.0, 5.0.1, 5.0.2

Als Lösung sollte das FortiOS des FortiWeb auf folgenden Release gebracht werden:

       5.0.3

Wennn dies nicht möglich ist kann als Workaround der Service/Funktion auf dem FortiWeb der "IP Reputation" deaktiviert werden! Weitere Auskunft gibt folgendes Dokument der diesen Support Alert adressiert:

       Datei:CSB-131018-1 FWB Connection Timeouts IP Reputation.pdf

Wenn ein FortiGate HA Cluster mehr als 497 Tage "up and running" ist kommt es zu "heartbeat" Fehlern! Folgende FortiOS sind betroffen:

       FortiOS 4.0.0 - 4.3.15
       FortiOS 5.0.0 - 5.0.4

Um den Uptime zu überprüfen führe folgendes Kommando aus:

      # get sys performance status

Um den "heartbeat" Fehler zu beheben führen einen Neustart des Cluster's durch um die "Sys Uptime" zurück zustellen! Weitere Auskunft gibt folgendes Dokument der diesen Support Alert adressiert:

       Datei:CSB-131106-1 FGT Heartbeat failures 497 days.pdf

Einge Modelle von FortiGate dh. FGT-3810A / FGT-5001B/C mit FortiOS 5.0.5 sind von folgenden Umstand betroffen:

       Wenn "heavy-load" im Zusammenhang mit HTTP Traffic auftritt kann ein System Freeze eintreten!

Wenn dies eintritt ist die CLI sowie das Web Mgmt. Interface nicht mehr zugänglich. Dieser Umstand tritt nur auf im Zusammenhang mit den genannten Geräten, bestimmten NP4 Prozessoren und VLAN's sowie FortiOS 5.0.5! Fortinet wird am November 22, 2013 für die betroffenen Geräte einen Patch zur Verfügung stellen. Weitere Informationen findet man im foglenden Support Alert Dokument:

       Datei:CSB-131113-1 FGT NP4 Hang Issue.pdf

Am 28. November 2013 kündigt Fortinet an das FortiOS basierend auf Version 2.8 EOL (End Of Life) geht dh. speziell für die IPS Engine 1.000 sowie AV Engine 3.003 werden keine Updates mehr zur Verfügung gestellt sowie die Entwicklung wird eingestellt. Alle FortiGate's basierend auf FortiOS 2.8 sollten so schnell als möglich auf die Version 3.0 gebracht werden um weiterhin betreffend Support sei es IPS und/oder AV Engine zu gewährleisten.

Diese Ankündigung wurde von Fortinet unter folgendem Customer Support Bulletin herausgegeben CSB-131126-1.

IPS Engine Updates werden über FortiGuard für Customer mit gültigen FortiGuard Service periodisch zur Verfügung gestellt. Dabei handelt es sich nicht um die IPS Signaturen sondern die Engine selber. Die nächste zur Verfügung stehenden IPS Engine Update Version ist die Version 2.174. Diese Engine wird allen FortiGate Devices mit FortiOS 5 sowie FortiOS 4.3.12 oder höher gemäss nachfolgenden Zeitplan automatisch zur Verfügung gestellt:

       January 27th 10:00 PST – Remaining FortiGate units running 4.3.12 or later patch releases
       January 29th 10:00 PST – Premium support customer devices running 4.3.12 or later patch releases
       February 10th 10:00 PST – All FortiManager’s running 4.3.x or 5.0.x software and providing IPS packages to FortiGates running 4.3.12 or later patch releases and all 5.0 versions 
       
       NOTE In seltenen Fällen kommt es zu kurzfristigen "High CPU" Situation der IPS Engine. Diese "High CPU" Situation
            sind nur vorübergehender Natur dh. wenn die "High CPU" Situation permanent besteht siehe nachfolgender Artikel:
            
            FortiGate-5.0-5.2:FAQ#Wie_kann_ich_rausfinden_was_ein_High_CPU_verursacht_und_was_kann_ich_dagegen_tun.3F

Wenn Probleme erwartet werden auf der FortiGate etc. kann das automatische Update ebenfalls komplett deaktiviert werden und manuell innerhalb eines Wartungsfenster installiert werden. Dazu stellt Fortinet folgenden Link zur Verfügung um das Packet über folgende Position manuell einzuspielen:

       ftp://ftp-temp:r3triev3@support.fortinet.com/CustomerCare/flen-400-2.0174.pkg 
       
       Einzuspielen über die Position:
       
       System > Config > FortiGuard > FortiGuard Subscription Services > IPS Definitions > Update

Um nachträglich die IPS Version auf dem FortiGate Device zu Ueberprüfen kann folgender Befehl auf der CLI ausgeführt werden:

       # get syst auto-update version
        IPS Attack Engine
        --------- Version: 2.00137

Diese Ankündigung wurde von Fortinet unter folgendem Customer Support Bulletin herausgegeben CSB-140110-1.

Betreffend Details zu diesem "Vulnerability" siehe nachfolgender Artikel:

      Fortinet:Support-Alerts#Fortinet_.22Heartbleed.22_OpenSSL_Vulnerabilitly_Remote_Memory_Disclosure_Vulnerability_8._April_2014_.28CVE-2014-0160.29.3F

Weitere Informationen findet man im foglenden Support Alert Dokument:

      Datei:CSB-140408-1 OpenSSL Vulnerability.pdf

Fortinet kündigt an, dass die Antivirus Engine (AVE) und IPS Engine (IPSE) im Zusammenhang mit FortiOS 3.0 end of life geht (Juli 2014). Bis Januar 2015 werden keine AV-Engine und/oder IPS-Engine Signaturen Packages für FortiOS 3.0 zur Verfügung gestellt. Ab Januar 2015 wird der Support für FortiOS 3.0 im Zusammenhang mit AV-Engine/IPS-Engine sowie Signaturen Package im FortiGuard Distribution Network komplett eingestellt.

Folgende Produkte sind betroffen:

       Alle FortiGate Modelle mit installiertem FortiOS 3.0
       Letzte unterstützte Engine Version basiernd auf FortiOS 3.0 - 3.0 MR5:
       
       IPS Engine: 1.097
       AV Engine: 3.010

       Letzte unterstützte Engine Version basiernd auf FortiOS 3.0 MR6:
       
       IPS Engine: 1.129
       AV Engine: 3.010

Fortinet empfiehlt allen Kunden ein Upgrade auf 4.0 oder höher. Diese Ankündigung wurde von Fortinet unter folgendem Customer Support Bulletin herausgegeben CSB-140514-1:

      Datei:CSB-140514-1 FGD updates 30 .pdf

Fortinet hat ein Support Bulletin herausgegeben betreffend FortiDDoS Upgrade auf 4.1.0 / 4.1.1. In diesem Support Bulletin wird darauf hingewiesen, dass beim einem Upgrade für FortiDDoS 4.1.0 / 4.1.1 den Release Notes strikte zu folgen ist speziell betreffend Bios Konfiguration. Um den Upgrade Prozess einfach zu gestalten hat Fortinet dieses Upgrade aus dem Downloadbereich entfernt. Kunden die in der Zwischenzeit ein Upgrade betreffend FortiDDoS 4.1.0 / 4.1.1 durchführen wollen müssen -da das Image über den Downloadbereich nicht mehr zur Verfügung steht- ein Ticket eröffnen. Nach dem eröffnen des Tickets erhält der Kunde Hilfe wie das Upgrade durchzuführen ist sowie das Image für das Upgrade selber. Diese Ankündigung wurde von Fortinet unter folgendem Customer Support Bulletin herausgegeben CSB-140702-1 / CSB-140728-1:

      Datei:CSB-140702-1 FDD upgrade.pdf

Fortinet hat ein Support Bulletin rausgebracht betreffend FortiOS 5.2.1 im Zusammenhang mit IPSec und DHCP Interface. Wenn ein IPSec Tunnel konfiguriert wird basierend auf einem FortiGate Interface (zB wan1) das dessen IP über DHCP bekommt wird der IKE Deamon/Service nach einem Neustart der FortiGate nicht mehr gestartet. Der Grund dafür ist der Folgende: Nach dem Neustart versucht der IKE Deamon den lokalen Gateway zu verifizieren. Da dies nicht möglich ist wird der IKE Deamon/Service nicht gestartet. Dieser Umstand betrifft "nur" Interface's die Ihre IP über einen DHCP Server bekommen dh. Interface's die statisch konfiguriert sind, sind nicht betroffend von diesem Umstand. Dieses Problem ist bekannt unter Bug ID:

       Reference Bug ID: 254898

       Affected Products:
       Alle FortiGate basierend auf FortiOS 5.2.1 (FortiOS 5.2.0 ist nicht betroffen)

       Workaround:
       Um diesem Bug entgegenzutreten gibt es vers. Workaround:
       
       Workaround 1: Nachdem Neustart/Reboot muss der IKE Deamon manuell neu gestartet werden:
                     Benütze auf der Kommandozeile folgendes Kommando:
                     
                     # diagnose sys top 20 40
                     # diagnose sys kill -9 <pid>
                     
                     Beispiel:
                     # diagnose sys top 20 40
                     ...
                     iked 70 S 0.0 1.1
                     # diag sys kill -9 70
                     
                     NOTE Um die Prozess ID des IKE Deamons/Service zu erurieren kann ebenfalls folgender Befehl benützt werden:
                          
                          # fnsysctl more /var/run/iked.pid
                          70
        
       Workaround 2: Roll-back resp. Downgrade auf 5.2.0 (Diesen Weg empfehlen wir nicht).
       Workaround 3: Sofern möglich Konfiguration einer "statischen" IP auf dem FortiGate Interface.

       Resolution:
       Dieser Bug mit der ID 254898 wird in FortiOS 5.2.2 behoben sein. Release Datum für diese Version ist voraussichtlich 10. Oktober 2014.

Diese Ankündigung wurde von Fortinet unter folgendem Customer Support Bulletin herausgegeben CSB-140924-1:

      Datei:CSB-140924-1 IPSec DHCP Interface.pdf

Fortinet hat für die FG-100D eine 4te Generation released. Bei diesem Release der Hardware sprich der 4ten Generation "kann" eine Inkompatibilität auftreten mit vers. FortiOS Versionen. Wenn so eine Inkompatibilität existiert/eintritt kann der Device nicht ordnungsgemäss Neu gestartet werden (unit fails to boot-up).

       Affected Products:
       FG-100D in der 4ten Generation können folgendermassen Identifiziert/verifiziet werden:
       
       # get system status
       
       Wenn im Output folgende Part Nummer erscheint handelt es sich um eine FG-100D in der 4ten Generation:
       
       Part Number:  P11510-04
       
       Eine FortiGate-100D in der 4ten Generation trägt die folgende Hardware ID:
       
       Hardware ID:  C4LL40-04AA-0000
       
       Folgende Serien Nummern sind betroffen:
       
       Serial Number:  FG100D3G14812216 und höher 
       
       Ebenfalls sind folgende Serien Nummern betroffen:
       
       FG100D3G14808002
       FG100D3G14808003
       FG100D3G14808005
       FG100D3G14808006
       FG100D3G14808007
       FG100D3G14808008
       FG100D3G14808009
       FG100D3G14808010
       FG100D3G14808011
       FG100D3G14808013
       FG100D3G14808014
       FG100D3G14808015

       Affected Products:
       FortiOS Versionen 4 MR3 ausser 4 MR3 Patch 18
       FortiOS Versionen 5.0 ausser 5.0 Patch 8

       Resolution:
       Update oder neu Staging des Devices auf FortiOS 4 MR3 Patch 18 und/oder FortiOS 5.0 Patch 8

Diese Ankündigung wurde von Fortinet unter folgendem Customer Support Bulletin herausgegeben CSB-141117-1:

      Datei:CSB-141117-1-100D-Supported-Code-Version.pdf

Fortinet hat ein Support Bulletin rausgebracht betreffend FortiOS 5.2 im Zusammenhang mit dem Upgrade Prozess auf 5.2.0, 5.2.1, or 5.2.2 einer FortiGate/WiFi 80C. Dies bedeutet: Wird ein Upgrade durchgeführt auf die genannten Versionen und der Device der FortiGate/WiFi 80C verfügt über ein Bios Version "4000007" oder tiefer "kann" es zu einem Fehler führen. Die Bios Version kann mit folgenden Kommando "vor" einem Upgrade verifiziert werden:

      # get sys status
      Version: FortiWiFi-80CM v5.0,build0292,140801 (GA Patch 9)
      Virus-DB: 16.00560(2012-10-19 08:31)
      Extended DB: 1.00000(2012-10-17 15:46)
      IPS-DB: 4.00345(2013-05-23 00:39)
      IPS-ETDB: 0.00000(2001-01-01 00:00)
      Serial-Number: FW80CM3900000000
      Botnet DB: 1.00000(2012-05-28 22:51)
      BIOS version: 04000006
      Log hard disk: Not available

       Affected Products:
       FortiGate: FG-80C, FG-80CM
       FortiWiFi: FW-80CM, FW-81CM

       Resolution:
       Die Software Version resp. Image der "Affected Products" wurden neu erstellt basierend auf FortiOS 5.2.2 und über den Download 
       Bereich neu zur Verfügung gestellt. Die neu erstellten Images tragen das Datum vom 6. Januar 2015. Somit sollten alle vorhandenen 
       Images die ein früheres Datum tragen gelöscht werden.

Diese Ankündigung wurde von Fortinet unter folgendem Customer Support Bulletin herausgegeben CSB-150109:

      Datei:CSB-150109-1 FG-80C failes to load.pdf

Ab der FortiAnalyzer Versionen 5.0.7 und 5.2.0, werden Remote SQL Datenbank nur dahingehend unterstützt, dass "ausschliesslich" die Log Informationen in die SQL Datenbank geschrieben werden. Dies bedeutet: Funktionen wie "Historische Log Suche" und "Reporting Möglichkeiten" werden ab den genannten Versionen nicht mehr unterstützt.

       Affected Products:
       Alle FortiAnalyzer Versionen inkl. Devices ab der Version 5.0.7 sowie 5.2 die eine "Remote SQL Datenbank" benutzen.

       Resolution:
       Es wird empfohlen die "Locakle Datenbank" eines FortiAnalyzer's zu benutzen.

Diese Ankündigung wurde von Fortinet unter folgendem Customer Support Bulletin herausgegeben CSB-150204-1:

      Datei:CSB-150204-1-FAZ-Remote-SQL.pdf

Für alle erwähnten FortiGate Modelle "D" die einen Axcen SFP (SX) Transceiver benutzen mit der Part Nummer "AXGE-5854-0511" besteht ein Problem, dass der physische Link nicht aktiviert wird (link up).

       Affected Products:
       FortiGate Modelle FG300D, FG500D, FG1000D, FG1200D, FG1500D

       Resolution:
       In einigen Fällen kann der "link up" Status erfolgreich etabliert werden wenn die "speed" Einstellungen des Interface
       auf einen festen Wert gesetzt wird dh. 100 Full-Duplex oder 1000 Full-Duplex. In so einer Konstellation sollte darauf
       geachtet werden, dass der Switch ebenfalls auf diese festen Werte konfiguriert wird. Wenn dies nicht erfolgreich 
       konfiguriert/durchgeführt werden kann so wird der SFP Transceiver über den RMA Prozess ausgetauscht.

Diese Ankündigung wurde von Fortinet unter folgendem Customer Support Bulletin herausgegeben CSB-150320-1:

      Datei:CSB-150320-1 Axcen SFP txer.pdf

In FortiOS 5.0.8 und 5.0.9 sowie 5.2.0 und 5.2.2 wurde der Standard Wert des "Firewall Service Protokoll" von 0 auf 6 geändert was wiederum da "6" TCP entspricht (0 = Alle Protokolle). Diese Aenderung spielt speziell bei einem Upgrade eine "wichtige" Rolle da sofern eine Firewall Policy implementiert wird mit dem Service "ALL" stand dieser "vor" einem Upgrade auf "Protokoll 0" was "Alle Protokollen" entpsricht und da nun durch die Aenderung der Wert auf "6" gesetzt wird ist nur noch "TCP" erlaubt. Auch ein Factory Reset löst dieses Problem nicht.

       Affected Products:
       All FortiGate Modelle

       Resolution:
       Bei FortiOS 5.0.10 und 5.2.3 wurde dieser Standard Wert wieder auf die Ursprünglichen Wert von "0" gesetzt. Wenn ein
       Upgrade auf einer FortiGate - ausgehende von den betroffenen Versionen (FortiOS 5.0.8/9 FortiOS 5.2.0/2 Standard Wert
       6) - auf Version 5.0.10 oder 5.2.3 (Upgrade Path einhalten) durchgeführt wird, wird der Standard Wert auf den alten 
       Wert "0" zurückgesetzt.

Diese Ankündigung wurde von Fortinet unter folgendem Customer Support Bulletin herausgegeben CSB-150402-1:

      Datei:CSB-150402-1 Service-Protocol-Number.pdf

Betreffend dem Modell 90D gibt es im Zusammenhang mit FortiOS 5.2 ein Problem das verhindert, dass die 90D keinen korrekten Neustart ausführt. Nachfolgend die Details:

       Affected Products:
       FG-90D, FG-90D-POE, FW-90D, and FW-90D-POE

       Description:
       Der Systemstart wird nicht korrekt ausgeführt und auf der Konsole ist folgendes sichtbar:

       1.Initializing firewall…
       2.System is starting...

       Resolution:
       Upgrade der Firmware auf FortiOS 5.2.3. Dieses Upgrade sollte das Problem beheben. Bei weiteren Problemen ist der Customer
       Support zu kontaktieren!

Diese Ankündigung wurde von Fortinet unter folgendem Customer Support Bulletin herausgegeben CSB-150508-1:

      Datei:CSB-150508-1-90D-no-boot.pdf

Betreffend dem Modell 80C gibt es im Zusammenhang mit FortiOS 5.0.12 sowie 5.2.x ein Problem das verhindert, dass die 80C nach einem Upgrade auf die erwähnten Versionen keinen korrekten Neustart ausführt. Nachfolgend die Details:

       Affected Products:
       FG-80C, FG-80CM

       Description:
       Der Systemstart wird nicht korrekt ausgeführt bei Bios Versionen tiefer als "4000007". Um die Bios Versionen anzuzeigen
       führe folgendes aus:
       # get sys status
       Version: FortiWiFi-80CM v5.0,build0292,140801 (GA Patch 9)
       Virus-DB: 16.00560(2012-10-19 08:31)
       Extended DB: 1.00000(2012-10-17 15:46)
       IPS-DB: 4.00345(2013-05-23 00:39)
       IPS-ETDB: 0.00000(2001-01-01 00:00)
       Serial-Number: FW80CM3900000000
       Botnet DB: 1.00000(2012-05-28 22:51)
       BIOS version: 04000006
       Log hard disk: Not available

       Resolution:
       Die Software Image's für 5.0.12 betreffend Modelle FG-80C, FG-80CM, FW-80CM und FW-81CM wurden neu erstellt und tragen 
       die Build Nummer 150709. Für die besagten Modelle sollten ausschliesslich nur dieses Image verwendet werden. Für FortiOS
       5.2.x wird ein neues Image released was geplant ist für den 21. July 2015.

Diese Ankündigung wurde von Fortinet unter folgendem Customer Support Bulletin herausgegeben CSB-150109:

      Datei:CSB-150109-2 FG-80C.pdf

FortiGate/FortiWifi Modelle 20C, 30D sowie 40C können Ihre Konfiguration bei einem Upgrade auf 5.2.4 Build Nummer 0688 (Datum 150722) betreffend IPSec Interface, Virtual Access Point Interface, Virtual Switch Interface sowie Loopback Interface verlieren. Dies geschieht speziell beim einem Neustart des Devices. Um die Version resp. Build Nummer sowie Datum zu überprüfen führe folgendes durch:

       # get system stat | grep 0688
       Version: FortiGate-20C v5.2.4,build0688,150722 (GA)

       Affected Products:
       FortiGate: FG-20C, FG-20C-ADSL, FG-30D, FG-30D-PoE, FG-40C
       FortiWiFi: FW-20C, FW-20C-ADSL, FW-30D, FW-30D-PoE, FW-40C

       Resolution:
       Für FortiOS 5.2.4 wurden die entsprechenden Images modifiziert dh. es muss darauf geachtet werden, dass nicht
       mehr die "alten" Images benützt werden. Die neuen Images tragen zwar die gleiche Build Nummer 0688 jedoch mit
       einem neueren Datum dh. "150730". Dies kann mit folgenden Befehl verifiziert werden:
       
       # get system status | grep 0688
       Version: FortiWiFi-30D v5.2.4,build0688,150730 (GA)

Diese Ankündigung wurde von Fortinet unter folgendem Customer Support Bulletin herausgegeben CSB-150730-1:

      Datei:CSB-150730-1-Partial-Config-Loss.pdf

Wenn ein FortiGate Device im HA Modus betrieben wird, können Fehler auftreten betreffend "heartbeat" sofern die Cluster Member über eine "system uptime" verfügen von über "497" Tage. Wenn dies auftritt werden in den Logs folgenden Meldungen gezeigt:

       15:54:10 0100037892 notice   Virtual cluster's member state moved
       15:54:08 0100037894 notice   Virtual cluster detected member join
       15:54:08 0100037899 notice   HA device(interface) peerinfo
       15:54:08 0100037899 notice   HA device(interface) peerinfo
       15:54:08 0100037901 critical Heartbeat device(interface) down
       15:54:08 0100037901 critical Heartbeat device(interface) down
       15:54:08 0100037893 notice   Virtual cluster detected member dead

Die gezeigten Meldungen indizieren einen "heartbeat failure" sowie ein "recovery" in kürzester Zeit. Um die Uptime auf einem Device zu eruieren führe folgendes Kommando aus:

       # get system performance status | grep Uptime

       Potentially Affected Products:
       Alle FortiGate's in einem HA Cluster Verbund

       Potentially Affected OS:
       FortiOS 4.3.16 oder Neuer, 5.0.5 oder Neuer, alle Versionen vis 5.2.4.

       Workaround:
       Neustart der Cluster Member

       Resolution:
       Diese Problem wird mit FortiOS 5.2.5 sowie 5.4.0 gelöst!

Diese Ankündigung wurde von Fortinet unter folgendem Customer Support Bulletin herausgegeben CSB-150807-1:

      Datei:CSB-150807-1-FortiGate-HA-failover-497days.pdf

Bei der Aktivierung eines FortiTokenMobile 3.0.3 (build 066) auf einem iOS Device kommt es zu Problemen und eine Fehlermeldung wird angezeigt:

       Resulting error: JSON Error: Invalid "mobile_id_hash"

       Resolution:
       FortiTokenMobile 3.0.3 wurde aus dem Apple App Store entfernt und wird ab ca. ab 1. September wieder zur Verfügung gestellt. 
       Im Moment wird FortiTokenMobile 3.0.4 von Apple "reviewed" und solbald dies abgeschlossen ist wird Apple FortiTokenMobile 3.0.4 
       wieder im App Store zur Verfügung stellen. Normalerweise dauert dieses "review" von Apple ca. 1 Woche.

Diese Ankündigung wurde von Fortinet unter folgendem Customer Support Bulletin herausgegeben CSB-150821-1:

       Datei:CSB-150821-1-FTM-303-Activation Errors.pdf

Der momentan verfügbare FortiClient in der Version 5.2.4 beinhaltet keine Unterstützung für das neue MacOSx "El Capitan". Wenn der FortiClient in der Version 5.2.4 dennoch installiert wird wird auf dem MacOSx "El Capitan" werden ungewollte Neustarts des System ausgeführt. Um das Problem zu lösen "muss" der FortiClient deinstalliert werden. Als Alternative kann der embedded Cisco VPN Client benutzt werden dieser benötigt jedoch in der Phase1/2 eine neue Konfiguration.

       Resolution:
       Die folgenden geplanten FortiClient Releases werdne das neue Betriebssytem von MacOSx unterstützen:
       FortiClient 5.4.0 (Release Datum ca. 9. Oktober 2015)
       FortiClient 5.2.5 (Release Datum ca. ende Oktober 2015)

Diese Ankündigung wurde von Fortinet unter folgendem Customer Support Bulletin herausgegeben CSB-150821-1:

       Datei:CSB-151006-FortiClient-El-Capitan-Support.pdf

Fortinet hat einen Support Alert lanciert der auf folgenden Umstand hinweist: Wenn das Feature "Roque AP Suppression" benutzt wird so muessen die entsprechenden Regulatorieren (FCC enforcement actions & rules.) in den jeweiligen Ländern in dem die FortiAP's eingesetzt werden berücksichtigt werden um zu gewährleisten das diese in dem jeweiligen Land erlaubt wird! Der nachfolgende Artikel gibt Auskunft über welche Funktion "Roque AP Suppression" konfiguriert werden kann". Dabei ist zu berücksichtigen: Dieser Artikel beschreibt die Funktion "Rogue AP" was jedoch nicht bedeutet - wenn diese Funktion benutzt wird - , dass auch "Roque AP Suppression" eingesetzt wird. Das heisst: "Roque AP" Funktion beninhaltet "Roque AP Suppression" ist jedoch nicht automatisch aktiviert:

       FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Rogue_AP.E2.80.99s.22.3F

Diese Ankündigung wurde von Fortinet unter folgendem Customer Support Bulletin herausgegeben CSB151125:

       Datei:CSB151125-Rogue-AP-Supression.pdf

Fortinet hat ein Support Alert lanciert der ein Umstand beschreibt der vielen jedoch bereits bekannt ist. Dies bedeutet: Es wird dringend empfohlen lokales Disk Logging zu deaktivieren. Bei kleineren Geräten wie FG-40C, FG-60x, FG-80C usw. kann das lokale Disk logging unter FortiOS 5.2 nicht mehr aktiviert werden. Für FortiOS 5.0.x kann zwar das lokale Disk logging aktiviert werden ist jedoch dringend nicht empfohlen. Die Disk's die für diese Device benutzt werden sind Flash Disk's. Diese verfügen über einen max. P/E cycles was auch als "program-erase cycles" bekannt ist. Erreicht eine Flash Disk diesen "cycles" werden Error Meldungen ausgegeben wie zB :

       Im Event Log erscheint folgende Meldung:
       
       EXT3-fs: group descriptors corrupted !
       EXT3-fs error (device sd(8,3)): ext3_check_descriptors: Block bitmap for group 17
       not in group (block 17334272)!
       
       oder
       
       The following critical firewall event was detected: Kernel error.
       date=2015-10-19 time=08:49:12 devname=FortiGate devid=FGT60D3912621349 logid=0100020010 type=event subtype=system level=critical vd="root" logdesc="Kernel
       error" msg="EXT3-fs error (device sd(8,3)): ext3_get_inode_loc: unable to read inode block - inode=132, block=8"
       
       oder
       
       EXT2-fs error (device sd(8,3)): ext2_free_blocks: Freeing blocks not in datazone - block = 4294967295, count = 1

Wenn ein solcher Device Neu gestartet wird regulär oder irregulär erscheint beim Start auf der RS-232 Console folgendes:

       Initializing firewall...
       System is starting...
       Starting system maintenance...
       Scanning /dev/mtd1... (100%)
       Formatting shared data partition ... done!
       EXT3-fs: error loading journal.
       EXT3-fs: error loading journal.

       Potentially Affected Products:
       Low end FortiGate/FortiWifi models with flash storage
       20C, 40C, 60C, 80C,
       60D, 90D, 100D

       Potentially Affected OS:
       FortiOS 4.x
       FortiOS 5.0
       FortiOS 5.2

Wenn dies zutrifft für einen Device ist ein Workaround die Disk mit nachfolgenden Befehl zu formatieren:

       # execute formatlogdisk

Dieser Workaround ist jedoch nicht eine Gewährleistung das dieser Error usw. nicht wieder auftritt. Fortinet hat diesem Umstand in FortiOS 5.2.5 Rechnung getragen. Dies bedeutet: Um diesem Umstand entgegenzutreten wurde in FortiOS 5.2.5 sowie 5.4.0 eine Implementierung hinzugefügt (welche umbekannt) der diesen Error resp. Umstand entgegenwirkt, was jedoch keine Gewährleistund ist, dass dieser Error/Umstand nicht wieder auftritt! Aus diesem Grund ist es zu empfehlen sobald 5.2.5 zur Verfügung gestellt wird durch Fortinet ein Upgrade durchzuführen auf 5.2.5. Wenn - obwohl die Disk formatiert wurde - dieser Error/Umstand wiederum auftritt ist ein Ticket bei Fortinet zu eröffnen für einen "RMA Case". In so einem Fall ist klar darauf hinzuweisen, dass die Disk bereits formatiert wurde jedoch der Errror wiederrum aufgetreten ist. Wir empfehlen "dringend" auf für FG-100D sowie FG-90D "kein" Disk Logging zu aktivieren und Remote Logging auf einem FortiAnalyzer zu benutzen damit die Disk nicht für Logging benutzt wird. Dies heisst jedoch nicht, dass die Disk für kleinere Geräte (inkl. FG-90D/100D nicht formatiert werden soll. In jedem Fall ist die Disk bei einer Installation und - obwohl Remote Logging benutzt wird - zu formatieren da ein Device die Disk nicht "nur" für das Logging benutzt. Die Funktionen die auf einer Disk benutzt werden "exkl. Logging" sind jedoch akzeptable sofern diese nicht "exessive" genutzt werden wie zB:

       Device identification
       DHCP and/or PPPoE

Diese Ankündigung wurde von Fortinet unter folgendem Customer Support Bulletin herausgegeben CSB-151124-1:

       Datei:CSB-151124-1-FortiGate-Flash-disk-errors.pdf

Es ist möglich über eine SSH Verbindung auf auf einem FortiGate Devices mit einem betroffenen FortiOS direkt Adminrechte zu erlangen. Dadurch kann eine vollständige Kontrolle des FortiGate Devices erlangt werden. Dieser "Vulnerability" war keine "backdoor vulnerability" und deshalb wurde auch kein offizieller "CV" publiziert. Der Grund dieses "Vulnerability" war eine "Management authentication issue". Der "Vulnerability" wurde durch das Fortinet "Security Team", das durch regelmässige Reviews und Testing die Produkte durchleuchtet gefunden. Eine entsprechende Korrektur wurde im Juli 2014 durch Fortinet released durch die Versionen 4.3.18 sowie 5.0.8.

       Impact:
       Remote Console Access mit "Administrative Access" bei aktiviertem SSH! 

       Affected Products::
       FortiOS 4.3.0 bis 4.3.16
       FortiOS 5.0.0 bis 5.0.7
       
       NOTE Die FortiOS 5.2.x und 5.4.x sind nicht betroffen.

       Refrence:
       https://www.fortiguard.com/advisory/fortios-ssh-undocumented-interactive-login-vulnerability 

       Solutions:
       Upgrade auf FortiOS 4.3.17 oder höher (available as of July 9, 2014)
       Upgrade auf FortiOS 5.0.8 oder höher (available as of July 28, 2014)

       Workaround:
       Deakiviere den Administrationszugriff über SSH auf allen Interfaces sofern möglich. Wenn eine Deaktivierung des 
       Administrations Zugriff über SSH nicht möglich ist schränke die Benutzung über "Autorisierte IP Adressen" ein! Weitere 
       Informationen wie der SSH Remote Zugriff eingeschränkt werden kann siehe nachfolgenden Artikel:
       
       FortiGate-5.0-5.2:FAQ#Wie_aktiviere_ich_f.C3.BCr_den_User_.22admin.22_den_Management_Zugriff_und_was_muss_ich_dabei_ber.C3.BCcksichtigen.3F
       
       Wenn SSH komplett vorübergehend deaktiviert werden kann verwende vorübergehend für die CLI das "Console Widget" im Mgmt. Web Interface "Dashboard".

Diese Ankündigung wurde von Fortinet unter folgendem Customer Support Bulletin herausgegeben CSB-160115-1:

       Datei:CSB-160115-1-ssh-interactive-login-vuln.pdf

Diese Ankündigung wurde von Fortinet unter folgendem Customer Support Bulletin herausgegeben CSB-160302-1:

       Datei:CSB-160302-1-Vport-IOS-rev1.pdf

Unter gewissen Umständen stoppt die Uebermittlung der Logs für Devices zum FortiAnalyzer unter FortiAnalyzer 5.2.6! Dieses Problem wird ausgelöst durch folgende Faktoren:

       • FortiGate Devices wurden Registriert als HA Cluster vor oder nach einem Upgrade auf FAZ 5.2.6.
       • Nach einer Cluster Registrierung wurde der Slave Device nicht gelöscht.
       • Der Slave Device hat einen tiefere system generierte ID (OID) im Vergleich zur Cluser OID.

Die OID kann in der CLI des FAZ folgendermassen verifziert werden:

       # diag dvm device list

Wenn eine Verifizierung der OID vor einem Upgrade auf 5.2.6 durchgeführt wird und der Slave Device ist ersichtlich, kann dieser gemäss Workaround gelöscht werden. Wenn der Slave Device gelöscht wurde kann ein Upgrade auf 5.2.6 durchgeführt werden um dieses Problem zu umgehen!

       Impact:
       Es werden keine Logs mehr zum FortiAnalyzer der Devices Uebermittelt! 

       Affected Products::
       FortiOS 5.2.6

       Solutions:
       Upgrade auf FortiAnalyzer 5.2.7

       Workaround:
       Um das Problem zu umgehen muss in erster Linie die OID kontrolliert werden. Zeigt der FAZ Slave eine tiefere OID sollte dieser
       innerhalb des Device Managers gelöscht werden. Danach muss ein Neustart des FAZ durchgeführt werden und der Slave wird nach
       dem Neustart wieder hinzugefügt!

Diese Ankündigung wurde von Fortinet unter folgendem Customer Support Bulletin herausgegeben CSB-160407-1:

       Datei:CSB-160407-1-FortiAnalyzer-Drops-Logs.pdf

Aus Gründen der Device Flash grössen Limitierungen werden erwähnte FortiGae Modelle nicht weiterhin für 5.2.x unterstützt resp. FortiOS Images zur Verfügung gestellt. Es muss dabei erwähnt werden das diese erwähnten Modelle sich bereits im End-of-Life Cycle befinden! Das letzte zur Verfügung stehende FortiOS Image für diese erwähnten FortiGate Devices ist die Version 5.2.5:

       Affected Products::
       FortiGate FG-3016B
       FortiGate FG-3810A
       FortiGate FG-5001A SW & DW
       FortiCarrier FK-3810A
       FortiCarrier FK-5001A SW & DW

       Additional Information:
       Fortinet wird bei Security Vulnerabilities oder Critical Software Issues vor Ende 
       des End-of-Life Cycle für diese erwähnten FortiGate Devices entsprechende Patch
       Releases zur Verfügung stellen!

Diese Ankündigung wurde von Fortinet unter folgendem Customer Support Bulletin herausgegeben CSB-160222-1:

       Datei:CSB-160222-1-Last-SW-Release.pdf

Bei einer FortiManager Installation unter 5.2.6 existiert unter gewissen Umständen ein "memory leak". Dieser "memory leak" äussert sich in dem es zu Fehlermeldungen kommt, wenn ein grösseres Policy Package installiert wird. Ob ein Policy Package erfolgreich installiert werden kann, hängt vom zur Verfügung stehenden System Memory ab sowie der Komplexität des Policy Packages.

       Impact:
       Komplexe Policy löst bei einer Installation ein "memory leak" aus! 

       Affected Products::
       FortiManager 5.2.6

       Solutions:
       Upgrade auf FortiManager 5.2.7

       Workaround:
       Wenn ein Policy Package zu mehreren Devices für eine Installation hinzugefügt wurde, sollte die Anzahl der Devices die
       dieses Policy Package benutzen reduziert werden!

Diese Ankündigung wurde von Fortinet unter folgendem Customer Support Bulletin herausgegeben CSB-160222-1:

       Datei:CSB-160405-1-FortiManager-Memory-Leak.pdf

FortiGate Firmware welche vor dem August 2012 veröffentlicht wurden weisen eine cookie parser Buffer Überlastung Sicherheistlücke auf. Durch diese Sicherheitslücke ist es möglich mit einem manipuliertem http Request die Kontrolle des Gerätes zu übernehmen.

Betroffen sind Firmware Versionen welche tiefer als die Version 4.x sind. FortiOS Versionen 5.x sind NICHT betroffen.

Alle weiteren Fortinet Produkte werden auch auf diese Sicherheitslücke untersucht. (Stand 18.08.2016)

       Impact:
       Remote administrative access

       Affected Products:
       - FortiOS 4.3.8 und tiefer
       - FortiOS 4.2.12 und tiefer
       - FortiOS 4.1.10 und tiefer

       Solutions:
       - Upgrade auf FortiOS 5.x oder höher
       - Upgrade auf 4.3.9 oder höher auf Modelle welche nicht kompatibel mit FortiOS 5.x sind.

       Risk
       FortiGuard Stuft die Sicherheitslücke mit Level 4 (High) ein

Weitere Inforamtionen auf https://fortiguard.com/advisory/FG-IR-16-023

Unter gewissen Umständen zeigt eine korrekt beschaffte FortiAnalyzer Lizenz ein "expiration date" dh. unter normalen Umständen läuft eine FortiAnalyzer Lizenz nie aus und darf über kein "expiration date" verfügen.

       Affected Products:
       FortiAnalyzer FAZ-VM

Um festzustellen ob die Lizenz eines FortiAnalyzer betreffend diesem Umstand betroffen ist führe auf CLI folgendes Kommando aus:

       # diagnose debug vminfo

Wenn die FortiAnalyzer Lizenz von diesem Umstand betroffen ist wird folgendes angezeigt:

       # diagnose debug vminfo
        Valid License Type
       Expired in : 84 days 17 hours 37 minutes
        Table size:
                Licensed Storage: 49652GB
                Licensed GB/Day: 201

Wenn die FortiAnalyzer Lizenz nicht betroffen ist von diesem Umstand wird folgendes angzeigt:

       # diagnose debug vminfo
        Valid License Type
        Table size:
        Licensed Storage: 8392GB
        Licensed GB/Day: 26

       Solutions:
       Wenn die FortiAnalyzer Lizenz mit einem "expiration date" angezeigt wird muss zur Lösung die Lizenz abermals über den
       entsprechenden Support Account runtergeladen werden um das "expiration date" zu entfernen. Nachdem die Lizenz abermals
       runtergeladen wurde muss die FortiAnalyzer Lizenz wiederum auf dem FortiAnalyzer eingespielt werden. Durch die Einspielung
       der Lizenz wird ein Neustart ausgeführt. Danach kann wiederum eine Kontrolle auf dem FortiAnalyzer über CLI durchgführt 
       werden und es darf dabei kein "expiration date" unter "Valid License Type" angezeigt werden:
       
       # diagnose debug vminfo
        Valid License Type
        Table size:
        Licensed Storage: 8392GB
        Licensed GB/Day: 26

Diese Ankündigung wurde von Fortinet unter Customer Support Bulletin CSB-160908-1herausgegeben!

Basierend auf FortiManager und/oder FortiAnalyzer 5.2.8 wird die Kalkulation des Device Counts dh. die Kalkulation der Anzahl Devices nicht korrekt durchgeführt. Dadurch wird unter Umständen verhindert das neue Device hinzugefügt werden können. Aus diesem Grund wurde der Release 5.2.8 des FortiAnalyzers sowie FortiManagers zurückgezogen.

       Affected Products:
       FortiManager 5.2.8 (build 777)
       FortiAnalyzer 5.2.8 (build 777)

       Solution:
       Der FortiManager 5.2.9 (build 779) and FortiAnalyzer 5.2.9 (build 779) sind für einen neuen
       Release geplant für den 21. September 2016!

Es kann vorkommen, dass die Konfiguration verloren geht, wenn man die FortiSandbox auf das FortiOS 2.3.1 (Build 0194) upgradet.

       Affected Products:
       FortiSandbox OS 2.3.1

       Solution:
       Das FortiSandbox 2.3.1 wurde von der Fortinet Supportwebseite entfernt.
       Die Kunden werden aufgefordert, auf den Upgrade für FortiSandbox 2.3.2 vom 4.November zu warten. 
       Alle Kunden die bereits einen Upgrade auf 2.3.1 ausgeführt haben, sollen sich an den technischen 
       Support wenden.

Diese Ankündigung wurde von Fortinet unter Customer Support Bulletin CSB-161031-1 herausgegeben!

In FortiOS 5.4.2 kann ein URL Filter innerhalb WebFilter mit der "action" "exempt" konfiguriert werden. Diese Konfiguration bedeutet Folgendes: Durch "exempt" wird für die konfigurierte Seite zB "*.apple.com" keine UTM Features durchgeführt wie zB AntiVirus. Wird in diesem Zusammenhang der WebFilter benutzt mit der SSL-Inspection Certificate Inspection kommt es zu Problemen dh. der Traffic wird für diese konfigurierten Seiten im URL Filter durch "exempt" geblockt. WebFilter im Zusammenhang mit Flow-Inspection oder Deep-Inspection sind nicht betroffen.

       Affected Products:
       FortiGate FortiOS 5.4.2

       Workaround:
       Fortinet stellt über einen Support Case Anfrage betreffend diesem Problem einen speziellen Build zur Verfügung.
       Dieser spezielle Build ist jedoch nur über ein Technical Support Ticket erhältlich. Damit das Technical Support
       Ticket so schnell als möglich verarbeitet wird empfehlen wir beim Erstellen des Ticket P3 zu wählen und auf den
       Bug zu vewweisen:
       
       Customer Support Bulletin CSB-161108-1

       Workaround
       Wenn dieser spezielle Build keine Option darstellt kann folgender Workaround durchgeführt werden:
       
       Alle URL Filter Einträge die mit Wildcard konfiguriert wurden dh. zB "*.apple.com" müssen unter "action" auf
       "monitor" gesetzt werden da "monitor" den Wildcard erlaubt und ein Log Eintrag erstellt. Möchte man kein Log
       Eintrag erstellen wenn die Seite basierend auf dem Wildcard aufgerufen wird muss "allow" gewählt werden. Durch
       diese Konfiguration werden jedoch diese konfigurierten Seiten zB "*.apple.com" nicht mehr von den UTM Features
       ausgeschlossen.

       Solution:
       Der Bug wird im FortiOS 5.4.3 behoben!

Diese Ankündigung wurde von Fortinet unter Customer Support Bulletin CSB-161108-1 herausgegeben!

       Affected Products:
       Product: All products with an NTP client

Am 31.Dezember 2016 wird die letzte Minute im Jahr 61 Sekunden dauern. Diese Massnahme wird wegen der Erdumdrehung initziert (Infos auch unter https://de.wikipedia.org/wiki/Schaltsekunde) . Alle NTP-Server müssen diese Schaltsekunde weiter leiten. Dies geschieht indem die NTP Server eine Leap Indicator(LI) Warnung an die Clients senden. Der NTP-Client ist für die Änderung seiner Uhr zuständig. Ein NTP Server kann die LI-Warnung weiterleiten oder ignorieren. Die folgenden Tabellen gibt es eine Zusammenfassung welche Fortinet Produkte über einen NTP-Server verfügen und welche eine LI-Weiterleitungs Funktion verfügen:

       Product              Leap Indicator Capitablity
       -----------------------------------------------
       FortiGate            Forward

Alle anderen Fortinet Produkte haben keine NTP Server implementation. Die folgende TAbelle gibt eine Übersicht, welche Fortinet Produkte einen NTP-Client besitzen und wie sein verhalten des LI-Nachrichten empfang gehandelt wird:

       Product              SW Version        Impact and Mitigation
       ------------------------------------------------------------
       FortiGate            4.3 and later
       
       FortiManager         4.0 and later
       
       FortiAnalyzer        4.3.8 and later    Leap indicator wird ignoriert. Die Systemzeit kann bis zur nächsten NTP-Synchronisation 
                                               eine Sekunde vor der UTC Zeit sein. Dies wäre in einer Zeitspanne von maximal einer Stunde 
                                               der Fall.
       
       FortiWeb             all
       
       FortiMail            all
       
       Forti AP             all                Hat keinen NTP Client. Die Zeit wird vom wireless Controller übergeben
       
       FortiAuthenticator   all                Leap indicator wird ignoriert. Die Systemzeit kann bis zur nächsten NTP-Synchronisation 
                                               eine Sekunde vor der UTC Zeit sein. Dies wäre in einer Zeitspanne von maximal zwei Munuten 
                                               der Fall.

      Solution:
      Es sind keine störende Systemauswirkungen bekannt bei den oben aufgeführten Fortinetprodukten und dessen Software Versionen.
      Es konnte eine 1 Sekunden Taktdrift bei den Produkten beobachtetn werden, welche die LI Nachricht ignorierte. 

Diese Ankündigung wurde von Fortinet unter Customer Support Bulletin CSB-161130-1 herausgegeben!

Bei den Wireless Controllerlösungen von Fortinet kann es vorkommen, dass die Konfiguration nach einem Upgrade auf die Version SD 8.1-3-2 verloren geht. Ausgelöst wird dies, wenn spezielle Sonderzeichen in der Konfiguration von PSK, Radius Schared Secret oder Local Guest Credentials enthalten sind. Als Sonderzeichen zählen zum Beispiel:

       () &;: @ #

       Affected Products:  
       FortiWLC 50D,FortiWLC 200D, FortiWLC 500D, MC6000, MC4200 (with or without 10G Module), MC4200-VE, MC3200, MC3200-VE, MC1550 und MC1550-VE

       Affected OS
       SD 8.1-3-2

       Workaround:
       Wenn ein Upgrade auf SD 8.1-3-2 durchgeführt werden soll, müssen alle Sonderzeichen aus der Konfigurationsdatei entfernt werden. 
       Das bedeutet, die Konfigurationsdatei muss vor dem Update editiert werden und allfällige Sonderzeichen entfernt werden. 
       Die Datei speichern und erst dann upgraden.

       Remedy:
       Im Maintenance Release 8,1 MR welches voraussichtlich im Q2 2017 veröffentlicht wird, soll dieses Problem behoben werden.     
       Die Versionen 8.3 und 8.2 sind von diesem Ipmact nicht betroffen.

Diese Ankündigung wurde von Fortinet unter Customer Support Bulletin CSB-170127-1 herausgegeben!

Bei FortiSandbox 3000E Geräte, welche eine Serienummer im folgenden Bereich haben, sind die Port 5 und Port 6 vertauscht. Die Anschlüsse auf der Rückseite des Gerätes lesen sich von links nach rechts mit 6 und 5 anstatt 5 und 6.

       Potentially Affected Products:
       
       FortiSandbox 3000E mit Serienummern in den folgenden Bereichen: 
       
       FSA3KE3R16000039 und kleiner
       FSA3KE3R17000014 und kleiner

       Potentially Affected OS:
       
       v2.3.2 eingeführt. Das Betriebssystem ist in diesem Sinne nicht betroffen, da es sich um ein Port-Label Problem handelt.

Diese Ankündigung wurde von Fortinet unter Customer Support Bulletin CSB-170201-1 herausgegeben!

In den FortiGate 1500D Generation 1 Modellen hat es in der SSD-Controller Firmware ein potentielles Problem, welches den Effekt hat, dass die SSD nach dem Einschalten des Sleep Modus nicht mehr verfügbar sind. Ist dies der Fall wird folgende Meldung auf der Konsole (CLI) ausgegeben:

       EXT3-fs error (device sd(8,17)): ext3_readdir

Dieses Phänomen tritt hauptsächlich bei FortiGate 1500D welche in einer Cluster Konfiguration sind. Dies weil das Slave oder Backup Gerät längere Zeit wenig oder gar keine SSD Aktivität aufweist und dadurch in den Sleep Modus geht.

       Potentially Affected Products:
       FortiGate-1500D Gen 1  -  Part number P12917-04 & 05

       Affected OS:
       All FortiOS versions.

       Workaround:
       Um die SSD wieder zu aktivieren ist ein Hardware reboot notwendig.

       Resolution:
       Es ist ein Software Update verfügbar, welches verhindert, dass dieses Problem auftritt. 
       Das Update kann über den technischen Support von Fortinet bezogen werden.
       Das Update wird auch im GA Patch FortiOS 5.4.4 (voraussichtlich im Februar 2017) und Patch 5.2.11 (Q3 2017) enthalten sein.

Wie überprüfe ich die Generation der Firewall? Leider ist es nicht möglich die Generation selber herauszufinden. Um ganz sicher zu gehen, muss bei Fortinet ein technisches Ticket eröffnet werden. Damit es effizient vorwärts das Ticket auf P3 eröffnen und geht folgende Daten von den potentiell betroffenen Firewalls mitgeben:

       # get status system

Diese Ankündigung wurde von Fortinet unter Customer Support Bulletin CSB-170130-1 herausgegeben!

Es existieren FortiGate Geräte, bei welchem sich über die Zeit das Taktsignal verschlechtert. Dies kann zu Fehlern beim Systemstart oder zu Betriebsfehlern führen. Bei Geräten welche diese Fehlerhafte Komponente verwenden wird, wird die Möglichkeit erhöht, dass nach zirka 3 Jahren diese ersetzt werden müssen.

       Possibly Affected Products:
       
       - FortiGate 90E   : P19061-03
       - FortiGate 91E   : P19071-03
       - FortiHypervisor : P19079-03
       Geräte mit der oben aufgeführten part Number und rework label  EX4893-xx sind nicht betroffen.
       
       Die Partnummer und das work Label kann folgendermassen herausgefunden werden:
       1. Die Partnummer kann über die CLI mit dem Kommando "get sys status" ausgelesen werden:
       
          FGT90E4Q16000020 # get sys status
          Version: FortiGate-90E v5.4.1,build5461,160627 (GA)
          --- abbreviated---
          System Part-Number: P19061-03
       
       2. Auf der Unterseite des Gerätes befindet sich neben dem grossen Fortinet Produkteaufkleber (Modell, Serienummer usw), 
          eine zweite Etikette welche die Rework Number (EX4893-xx) enthält.

       Remedy:
       Es ist nicht notwendig, die Geräte sofort zu Ersetzen. Fortinet steht aber zu seinen Verpflichtungen und ersetzt 
       betroffene Geräte wen dies nötig ist. Der Kunde wird von Fortinet unterstützt bei Fragen oder wen es impact auf den Betrieb gibt. 
       Es wird mit dem Kunden zusammen die bestmögliche Lösung erarbeitet.

Diese Ankündigung wurde von Fortinet unter Customer Support Bulletin CSB-170207-1 herausgegeben!

Wenn ein LTE Modem unter FortiOS 5.4.4 auf den E Serie Modellen über USB Schnittstelle angeschlossen ist, wird diese nicht gestartet.

       Potentially Affected Products:
       FortiGate / FortiWiFi:
       FGT-60E, FGT-61E, FWF-60E, FWF-61E, FGT-80E, FGT-80E-POE, FGT-81E, FGT-81E-POE, FGT-100E, FGT-101E, FGT-100EF

       Affected OS:
       FortiOS 5.4.4

Um zu überprüfen ob die Installation von diesem Issue betroffen ist, kann folgendes über Kommandozeile ausgeführt werden:

       # get sys status
       Version: FortiGate-61E v5.4.4,build6003,170207 (GA)
       FGT61E4Q16001181 # diag sys lte-modem info
       LTE Modem configuration enabled!
       LTE Modem device initialized.
       Manufacturer: Novatel Wireless Incorporated
       Model: Ovation MC679 Card
       MEID: 012798005296558
       USB Modem Interface: down

       Workaround:
       Das Issue wurde gelöst anhand eines special Release das über den Fortinet Technical Support erhältlich ist.
       Ist man von diesem Issue betroffen und man möchte diesen special Release installieren muss man um diesen
       special Release zu erhalten ein Fortinet Technical Support Ticket eröffnen.

Nachdem der special Release eingespielt wurde, kann wiederum eine Ueberprüfung über Kommandozeile durchgeführt werden:

       # get sys status
       Version: FortiGate-61E v5.4.4,build6046,170217 (GA)
       
       # diag sys lte-modem info
       LTE Modem configuration enabled!
       LTE Modem device initialized.
       Manufacturer: Novatel Wireless Incorporated
       Model: Ovation MC679 Card
       MEID: 012798005296558
       USB Modem Interface: up

Diese Ankündigung wurde von Fortinet unter Customer Support Bulletin CSB-170222-1 herausgegeben!

Fortinet unterstützt den Microsoft Windows SSL-VPN Standalone Client nicht mehr länger. Die Linux Version wird weiterhin auf dem Fortinet Development Network zum Download zu Verfügung gestellt. (https://fndn.fortinet.com).

       Betroffene Produkte:
       SSL-VPN standalone client for Microsoft Windows.

       Betroffene OS-Versionen:
       Alle SSL-VPN Standalone Client Versionen.
       Die letzte Unterstütze Version:
       • SSL-VPN standalone client v4.3 B2333 supported by FortiOS 5.2.11 und 5.4.4

       Lösung:
       FortiClient herunterladen und mit der VPN Komponente installieren. Die Verbindung kann dann mit SSL-VPN aufgebaut werden:
       

Diese Ankündigung wurde am 23.06.2017 von Fortinet unter Customer Support Bulletin CSB-170616-1 herausgegeben!

Die aktuelle Software-Version für die Fortinet Wireless Controller Solution ist 8.3.2. Fortinet wird diese Version nur für WLC-VM und WLM-Plattformen freigeben. Das heisst WLC 8.3.2 wird nur für virtuelle Maschinen (VMs) verfügbar sein und steht für Hardware Geräte nicht zur Verfügung.

       Folgende WLC-VM Versionen werden Unterstützt:
       • FWC-VM-50
       • FWC-VM-200
       • FWC-VM-500
       • FWC-VM-1000
       • FWC-VM-3000

Die nächste WLC Software Version welche VMs und Hardware Geräte Unterstützt wird die 8.3.3 sein. Die WLM Version 8.3.2 ist für Hardware Geräte und VMs verfügbar. Details und Bekannte Einschränkungen können aus den Release Notes entnommen werden:

       • Datei:FortiWLC-ReleaseNotes-8.3-2.pdf
       • Datei:FortiWLM-ReleaseNotes-8.3-2.pdf

       Betroffenes OS:
       • SD 8.3.2

Diese Ankündigung wurde am 29.06.2017 von Fortinet unter Customer Support Bulletin CSB-170626-1 herausgegeben!

Wireless Clients mit einem Fragmentierten EAP-TLS Zertifikat wird nicht erlaubt, auf den Kontroller zu verbinden, wen auf dem Kontroller die Version 8.3-1 GA benutzt wird. Dieses Problem tritt auf wenn die Clients oder APs fragmentierte Zertifikate mit EAP TLS benutzen.

       Potentiell betroffene Systeme:
       • FortiWLC-SD (All MC "ex-Meru" Controller and FortiController WLC)
       Potentiell betroffenes OS:
       • FortiWLC-SD 8.3-1GA

       Lösung:
       Ein Patch ist verfügbar um diesen Umstand zu beheben. Um den Patch zu erhalten kann man sich an den technischen Support von Fortinet wenden.
       Die Störung wird im Release 8.3-3 vom FortiWLC-SD behoben.
       
       • Patchname : forti-8.3-1GAbuild-1-patch-BUG_0438540_8.3-1GA-1-generic-rpm

Diese Ankündigung wurde am 14.07.2017 von Fortinet unter Customer Support Bulletin CSB-170711-1 herausgegeben!

Durch zwei Schwachstellen im FortiOS ist es möglich, dass ein nicht authentisierter Angreifer eine Denial-of-Service (DoS) Angriff oder ein Reflected-Cross-Site-Scripting (XSS) Angriff durchführen kann.

FortiOS DoS on webUI through 'params' JSON parameter

      Beschreibung:
      Ein authentifizierter Benutzer kann über speziell generierten Payload zum ‘params’ Parameter 
      über die JSON WEB API (URLs mit /json) übergeben. Dies kann dazu führen, das dass Webinterface 
      vorübergehend nicht mehr reagiert.
      
      Impact:
      Denial of Service (DoS)
      
      Betroffene FortiOS:
      • FortiOS 5.4.0 bis 5.4.5
      
      Lösung:
      Upgraden auf FortiOS 5.4.6 oder höher
      
      Referenz:
      • CVE-2017-14182   -> https://fortiguard.com/psirt/FG-IR-17-206
      
      Risiko Einschätzung:
      Stufe 4 - Hoch

FortiOS Web GUI logindisclaimer redir parameter XSS vulnerability

      Beschreibung:
      Es ist eine Schwachstelle im XSS beim das Web GUI "Login Disclaimer" im Redir-Parameter 
      Aufgetreten. Potentiell ist es möglich, von einem externen, nicht authentifizierten Angreifer
      dem Opfer eine URL zu senden, wenn sich das Opfer in einer offene Web-GUI Sitzung befindet. 
      Dieser kann mit einer manipulierten URL ermöglichen, das im Security Context des Browsers beliebige 
      JavaScript Codes ausgeführt werden können. 
          
      Impact:
      Cross-site scripting (XSS)
             
       Betroffene FortiOS:
      • FortiOS 5.4.0 bis 5.4.5
      • FortiOS 5.6.0
      
      Lösung:
      • Branch 5.4 upgraden auf 5.4.6 oder höher
      • Branch 5.6 upgraden auf 5.6.1 oder höher
      
      Referenz:
      • CVE-2017-7733    -> https://fortiguard.com/psirt/FG-IR-17-113
      
      Risiko Einschätzung:
      Stufe 4 - Hoch

Weitere Infos können unter folgenden Links erfahren werden:

• https://www.heise.de/security/meldung/Sicherheitsluecken-in-FortiOS-mit-hohem-Angriffsrisiko-3873331.html
• https://www.cert-bund.de/advisoryshort/CB-K17-1805

Beschreibung:
Beim Erstellen eines FortiClient 5.6.1-Installationspakets, welches vom Enterprise Management Server (EMS) erstellt wurde, tritt ein Fehler im erstellten Paket auf. Das Problem tritt auf, wenn der EMS den FortiClient 5.6.1 aus dem FortiGuard-Netzwerk herunterlädt. Falls der Fehler auftritt zeigt EMS folgende Fehlermeldung:

      "The installer has encountered an unexpected error installing this package. 
      This may indicate a problem with this package. The error code is 2711.”

Betroffene Produkte:

• FortiClient 5.6.1

Remedy:
FortiClient 5.6.2 wird dieses Problem beheben. Der FortiClient 5.6.2 wurde am 13. November 2017 veröffentlicht.

Diese Ankündigung wurde von Fortinet unter Customer Support Bulletin CSB-171110-1 herausgegeben!