Fortinet:Support-Alerts
Fortigate:Support-Alerts
24 X 7 PROMOTION November/Dezember (Verlängert bis ende März 2015) Weitere Informationen finden Sie hier!
Vorwort
Diese Seite informiert über Aktuelle Support Informationen sogenannte "Support Bulletin" von Fortinet!
Datenschutz
********************************************************************* * * * THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY * * PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING, * * DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM * * ALSO SCHWEIZ AG SWITZERLAND. * * * ********************************************************************* "Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne schriftliche Zustimmung von der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht bekannt gemacht werden"
CSRF Vulnerabilities
FortiGate Multiple CSRF (Cross-Site Request Forgery) Vulnerabilities 1. July 2013 (CVE-2013-1414)
Multiple CSRF (Cross-Site Request Forgery) vulnerabilities exist in FortiGate because GUI pages are not protected by CSRF token. It could allow remote attackers to hijack the authentication of arbitrary users under certain conditions:
http://www.fortiguard.com/advisory/FGA-2013-22/
Affected Products: FortiGates running FortiOS 4.3.12 and prior versions, FortiGates running FortiOS 5.0.2 and prior versions
Solutions: Upgrade FortiGates to FortiOS version 4.3.13 or 5.0.3.
References: http://packetstormsecurity.com/files/122216/Fortigate-Firewall-Cross-Site-Request-Forgery.html
Was ist eine CSRF (Cross-Site Request Forgery): Basically an attacker could but a malicious script somewhere. If the browser used to configure FGT is running that script while logged-on in FOS GUI in anther windows or tab, the attackers script can control the FGT with the logged-on users rights in the background. Since this vulnerability can only be exploited in this certain situation, we suggest to NOT have any other tabs or windows open in the browser used to configure the FGT.
FortiAuthenticator Privilege Escalation Vulnerability 16. Dezember 2013 (CVE-2013-6990)?
Am 15. Dezember 2013 hat Fortinet betreffend FortiAuthenticator eine Warnung rausgegeben (CVE-2013-6990) die folgendes umfasst:
Impact: Authentifizierte Admin User ist es möglich Zugriff auf die Shell des Systems zu erlangen! Dadurch können diese Admin User System Kommandos ausführen, Zugriff auf das Filesystem erlangen und das im vollen Umfang (read/write).
Affected Products: FortiAuthenticator 1.x and 2.x
Solutions: Upgrade auf den FortiAuthenticator 3.0 empfohlen. NOTE Bei solch einem Upgrade ist folgendes zu berücksichtigen: FortiAuthenticator:FAQ#Upgrade
FortiWeb Stored Cross-Site Scripting Vulnerability 17. Januar 2014 (CVE-2014-1458)?
Einem authentifizierten Administratoren ist es möglich ein "Java Injected Script" in ein spezifisches Feld auf dem Mgmt. Web Interface von Fortiweb zu speichern. Dieses "Java Injected Script" kann durch einen anderen Administrator über das spezifische Feld eingesehen werden.
Affected Products: FortiWeb 5.0.3 oder früher.
Solutions: Upgrade auf FortiOS 5.0.4.
Refrences: http://www.fortiguard.com/advisory/FG-IR-14-001/
FortiGate Cross-Site Scripting Vulnerability 3. Februar 2014 (CVE-2013-7182)?
FortiOS 5.0.5 und frühere Versionen enthalten ein "cross-site-scripting Vulnerability! Betroffen davon ist ein "mkey" Paramenter in der folgenden URL:
/firewall/schedule/recurrdlg
Impact: Durch diesen Vulnerability ist es möglich, dass ein unauthentifizierter Angreifer über diese URL und über den Browser des Endusers ein beliebiges Script zur Ausführung bringen kann.
Affected Products: FortiOS 5.0.5 oder früher.
Solutions: Upgrade auf FortiOS 5.0.6. NOTE Bei einem Upgrade von einer früheren Version von FortiOS auf 5.0.6 ist der Upgrade Path einzuhalten. Weitere Informationen dazu siehe folgendes Dokument: Datei:FortiOS-Upgradepath.pdf (FortiOS 5 Upgrade Matrix)
Refrences: http://www.fortiguard.com/advisory/FG-IR-14-003/
FortiWeb Cross-Site Scripting Vulnerability 3. Februar 2014 (CVE-2013-7181)?
Fortiweb 5.0.3 und frühere Versionen enthalten ein "cross-site-scripting Vulnerability! Betroffen davon ist ein "filter" Paramenter in der folgenden URL:
/user/ldap_user/add
Impact: Durch diesen Vulnerability ist es möglich, dass ein unauthentifizierter Angreifer über diese URL und über den Browser des Endusers ein beliebiges Script zur Ausführung bringen kann.
Affected Products: FortiWeb 5.0.3 oder früher.
Solutions: Upgrade auf FortiOS 5.1.0.
Refrences: http://www.fortiguard.com/advisory/FG-IR-14-002/
Fortinet "Heartbleed" OpenSSL Remote Memory Disclosure Vulnerability 8. April 2014 (CVE-2014-0160)?
In der OpenSSL Version 1.0.1 wurde ein gravierender Bug gefunden der als "Hearbleed" bekannt ist. Wir empfehlen Ihnen die nachfolgenden Informationen gut durchzulesen und die nötigen Schritte zu veranlassen:
Impact: Beim "Heartbleed" Bug handelt es sich um einen "gravierenden" Bug in der populären "OpenSSL" cryptographic Software dh. viele Hersteller benützen diese Software resp. Library um Verschlüsselungs Methoden für zB SSL-VPN Portal zur Verfügung zu stellen. Dabei ist zu beachten das die OpenSSL Version 0.9.8 nicht von diesem Bug betroffen ist sondern die Version 1.0.1f und tiefer. Dieser Bug erlaubt unter "normalen" Umständen über SSL/TLS geschützte Informationen von zB WebServer, MailServer oder VPN's auszulesen (Memory). Dieser "Heartbleed" Bug erlaubt es über normalen Zugriff zB auf den WebServer das Memory auszulesen obwohl die Informationen über die OpenSSL Software geschützt wird. Über einen "Heartbleed" tauschen Kommunikationspartner Statusinformationen aus, vor allem um festzustellen, ob das Gegenüber noch aktiv ist. Durch eine fehlende Überprüfung eines Speicherzugriffs kann ein Angreifer dabei bis zu 64 KByte der Gegenstelle auslesen (Memory). Somit wird der Zugriff ermöglicht auf die "secret keys" (private) die wiederum benutzt werden um die Informationen zu Verschlüsseln. Dies wiederum ermöglicht die Informationen durch diese "secret keys" zu entschlüsseln und so an geschützte Informationen zu gelangen wie Passwörter etc. und somit können diese vom Server entwendet werden. Tests haben gezeigt, dass durch diesen Angriff "secret keys" entwendet werden können und dadurch an geschützte Informationen zu kommen die unter normalen Umständen durch diese "secret keys" geschützt werden.
Affected Products: OpenSSL 1.0.1, 1.0.1:beta1/2/3 1.0.1a 1.0.1b 1.0.1c 1.0.1d 1.0.1e 1.0.1f (0.9.8x as 1.0.0x not affected) FortiGate (FortiOS) 5.0.0 bis 5.0.6 FortiClient 5.x FortiAuthenticator 3.x FortiMail 4.3.x and 5.x FortiVoice models 200D, 200D-T und VM FortiRecorder FortiADC D-Series models 1500D, 2000D und 4000D FortiADC E-Series 3.x Coyote Point Equalizer GX / LX 10.x FortiDDoS 4.x FortiDNS AscenLink v6.5 and 7.0
References: http://heartbleed.com/ http://www.fortiguard.com/advisory/FG-IR-14-011/ http://www.us-cert.gov/ncas/alerts/TA14-098A
Solutions: Fortinet wird für FortiGate's am 9. April 2014 01:00 eine neue FirmWare/Image zur Verfügung stellen! Für FortiAuthenticator sowie FortiMail wird eine neue Firmware/Image am 11. April 2014 released.
Workarounds: Die betroffenen MailServer, WebServer etc. können über die IPS (Intrusion Prevention System) geschützt werden und zwar über eine Custom Signature die folgendermassen aussieht: NOTE Die IPS Signature muss nicht mehr manuell erstellt werden, da diese mit der IPS Signaure Release Update 4.476 nun auf der FortiGate zur Verfügung steht. Dies ist jedoch nur der Fall wenn der Device über einen aktiven FortiGuard Maitenance Vertrag verfügt. Die IPS Signature in diesem besagten Update mit folgenden Namen zur Verfügung: "OpenSSL.TLS.Heartbeat.Information.Disclosure" # config ips custom # edit "OpenSSL.TLS.Heartbeat.Information.Disclosure-custom.All" # set action block # set comment # set signature "F-SBID( --attack_id 4982 \ # --name \"OpenSSL.TLS.Heartbeat.Information.Disclosure-custom.All\"; \ # --protocol tcp; --src_port 443; --flow from_server,reversed; \ # --pattern \"|18 03|\"; --context packet; --within 2,context; \ # --byte_test 2,>,100,1,relative; )" # next # end Diese Custome Signature muss nachträglich im entsprechenden IPS Profile eingebunden werden: # config ips sensor # edit "ssl.heartbleed" # config entries # edit 1 # set action reset # set rule 4982 # set status enable # next # end # next # end Danach muss der entsprechenden IPS Sensor zur entsprechenden Policy hinzugefügt werden: # config firewall interface-policy # edit 0 # set interface "wan1" # set srcaddr "all" # set dstaddr "all" # set service "HTTPS" # set ips-sensor-status enable # set ips-sensor "ssl.heartbleed" # next # end
Hinweis: Es muss berücksichtigt werden, dass auf einem WebServer, MailServer usw. bereits ein "Heartbleed" durchgeführt wurde und somit die "secret key" Informationen ausgelesen wurden. In so einem Fall muss nach dem "Patchen" des System das "Private Certificate" erneuert werden und event. darauf basierenden "Public Certificates" neu verteilt werden.
Offizielle Informationen betreffend diesem Cert findet man im offiziellen Customer Support Bulleting der Fortinet:
Fortinet:Support-Alerts#Fortinet_Information_Disclosure_Vulnerability_in_OpenSSL.3F
Fortinet Multiple Vulnerabilities in OpenSSL Vulnerability 6 June 2014 (CVE-2014-0224, CVE-2014-0221, CVE-2014-0195)?
Die OpenSSL Verantwortlichen haben folgenden Advisory herausgegeben die folgende Vulnerability beschreiben:
https://www.openssl.org/news/secadv_20140605.txt SSL/TLS MITM vulnerability (CVE-2014-0224) DTLS recursion flaw (CVE-2014-0221) DTLS invalid fragment vulnerability (CVE-2014-0195) SSL_MODE_RELEASE_BUFFERS session injection or denial of service (CVE-2010-5298) Anonymous ECDH denial of service (CVE-2014-3470)
Impact CVE-2014-0224 Erlaubt einem Angreifer in einem Network anhand einer "man-in-the-middle" Attacke die SSL Komunikation zu entschlüsseln. CVE-2014-0221 Erlaubt es einem Angreifer einem DTLS Client anhand eines falschen "handshakes" ein "crash" auszulösen. CVE-2014-0195 Erlaubt eine "buffer overrun attack" wenn falsche DTLS fragmente zu einem DTLS Client oder Server gesendet werden CVE-2014-0198 und CVE-2010-5298 Erlaubt eine "denial of service" Attacke unter bestimmten Umständen dh. wenn "SSL_MODE_RELEASE_BUFFERS" aktiviert ist. CVE-2014-3470 Erlaubt einem Angreifer einen "denial of service" Attacke zu "trigger" (in SSL Clients) wenn "anonymous ECDH ciphersuites" aktiviert ist. CVE-2014-0076 Kann genutzt werden um "ECDSA nonces on multi-user systems" herauszufinden indem "timing attacks in CPU L3 caches" ausgeführt werden. NOTE Von "CVE-2014-3470 und CVE-2014-0076" sind die Fortinet Produkte nicht betroffen
Affected Products FortiOS, FortiClient, FortiSwitch, FortiAnalyzer, FortiManager, FortiMail, FortiAP, FortiVoiceOS, FortiWeb, FortiAuthenticator, FortiDNS, FortiDDoS, FortiCache, FortiRecorder, FortiSandbox, FortiADC, FortiADC-E, Equalizer LX/GX, AscenLink
Risk - FortiOS 4.x und 5.x sind betroffen bei CVE-2014-0224 und CVE-2014-0195 (betreffend CAPWAP Service). - Zusätzlich in FortiOS 5.x SSL VPN und HTTPS Administration sind betroffen betreffend CVE-2014-0198 und CVE-2010-5298. - FortiAP's sind betroffen bei CVE-2014-0224, CVE-2014-0221 und CVE-2014-0195. - Alle anderen Produkte die unter "Affected Products" aufgeführt sind, sind durch CVE-2014-0224 betroffen.
Workarounds: FortiGuard hat eine IPS Signature "released" unter dem Namen "OpenSSL.ChangeCipherSpec.Injection" welche einen Schutz gegen CVE-2014-0224 bietet. Auf FortiGate's auf denen keine FortiAP's benützt resp. über CAPWAP verwaltet werden sollte das CAPWAP Protokoll komplett deaktiviert werden um dem Vulnerability CVE-2014-0195 entgegenzutreten. Wenn keine FortiAP's benützt/verwaltet werden, kann der Wireless Controller der über CAPWAP die FortiAP's verwaltet komplett deaktiviert werden: # config system global # set wireless-controller [enable / disable] # end
Firmware Updates Fortinet setzt alles daran Software Fixes gegen diese Vulnerabilities so schnell wie möglich zu releasen!
Nachfolgend der offizielle Link zur Fortinet Vulnerability Advisory:
http://www.fortiguard.com/advisory/FG-IR-14-018/
FortiGate Vulnerabilities in FortiManager Service (CVE-2014-0351, CVE-2014-0352)?
Impact: Ueber einen speziellen "denial of service" Angriff mit speziellen Anfragen zum FortiManager (TCP 541) Service kann ein unerlaubter Code ausgeführt werden. Die Ausführung des Codes konnte nicht nachgewiesen werden ist jedoch unter bestimmten Umständen möglich (CVE-2014-0352). Zusätzlich ist es möglich einen "man-in-the-middle" Angriff für das Service Protokoll des FortiManagers (TCP 541) durchzuführen indem ein "anonymous cipher suite" benutzt wird (CVE-2014-0351).
Affected Products: FortiOS 5.0.0 bis 5.0.7, FortiOS 4.3.15 und tiefere Versionen
Solutions: Upgrade auf FortiOS 4.3.16, 5.0.8, or 5.2.0.
Refrences: http://www.fortiguard.com/advisory/FG-IR-14-006/
Remote Exploit Vulnerability in Bash - 24. September 2014 - (Shellshock) (CVE-2014-6271)?
In der weit verbreiteten GNU Bourne Again Shell (Bash) wurde eine gravierende Schwachstelle gefunden. Die "Shellshock" genannte Sicherheitslücke ermöglicht es Angreifern unter gewissen Umständen die Ausführung von Code auf dem angegriffenen System. Wir empfehlen Ihnen die nachfolgenden Informationen gut durchzulesen und die nötigen Schritte zu veranlassen:
Impact: Der Exploit betrifft die GNU Bash Shell Versionen 1.14.0 bis 4.3. Bei betroffenen, auf unix basierenden, Systemen kann der Angreifer ausführbarer Code in einer Umgebungsvariable abspeichern und diesen dann ausführen. Die Platzierung von ausführbarem Code in der Umgebungsvariable kann dabei lokal oder von remote vorgenommen werden. Die Erstellung oder Manipulation von Umgebungsvariablen von remote ist theoretisch über verschiedene Funktionen möglich (z.B. Manipulation von HTTP Client Request Headern, SSH Servern, DHCP Clients, etc.). Aufgrund der weiten Verbreitung der Bash Shell wird dieser Exploit als kritisch eingestuft!
Affected Products: FortiAnalyzer (versions 5.0.X and 5.2.0) - authentication required to exploit FortiAuthenticator - authentication required to exploit FortiDB FortiManager (versions 4.3, 5.0.X and 5.2.0) - authentication required to exploit AscenLink v7.X
References: http://www.fortiguard.com/advisory/FG-IR-14-030/ http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-6271
Test: Um zu testen ob ein Unix basiertes System betroffen ist, kann folgender Befehl ausgeführt werden: # env var='() { :;};echo Vulnerable' /bin/bash -c /bin/true Oder, falls das System nicht über /bin/env verfügt: # export var='() { :;}; echo Vulnerable'; /bin/bash -c /bin/true Wenn "Vulnerable" angezeigt wird, ist ihr System betroffen.
Solutions: Fortinet wird die Sicherheitslücke im Rahmen des nächsten Patches für die betroffenen Systeme schliessen.
Workarounds: Durch Fortigate erreichbare Systeme können mit der IPS Signatur "Bash.Function.Definitions.Remote.Code.Execution" geschützt werden. Diese IPS Signatur ist im IPS Update 5.552 enthalten (das Update wurde am 25. September 2014 via FDN Server bereitgestellt). Voraussetzung dafür ist ein aktiver FortiGuard Maitenance Vertrag. Für bereits erkannte Angriffsversuche wurde ausserdem eine Antivirus Signatur bereitgestellt. Diese wird via Hot Update Funktion in der AV DB 22.863 bereitgestellt. Der aktuelle Stand der IPS-Attack- und AV-Definitions-Datenbank kann mit folgendem Befehl angezeigt werden: # get system fortiguard-service status Das Update der IPS- und AV-Definitionen kann mit folgendem Befehl manuell angestossen werden: # execute update-now
SSL v3 "POODLE" Vulnerability - 16. Oktober 2014 - (CVE-2014-3566)?
Google hat eine weitere Schwachstelle im SSLv3 Protokoll entdeckt. Die "Poodle" benannte Sicherheitslücke ermöglicht es Angreifern Teile von SSLv3 verschlüsselten Verbindungen zu entschlüsseln. Theoretisch ist es einem Angreifer so möglich, aktive Sitzungen eines Anwenders zu kapern oder sogar dessen Account zu übernehmen. Wir empfehlen Ihnen die nachfolgenden Informationen gut durchzulesen und die nötigen Schritte zu veranlassen:
Impact: Der auf einer Man-in-the-Middle (MitM) Postion basierende Angriff passiert in zwei Stufen: In einem ersten Schritt erzwingt der Angreifer durch gezielte Manipulation des Verbindungsaufbaus einen Verbindung nach dem Protokollstandard SSLv3. Dieser Schritt basiert auf der Abwärtskompatibilität der Kommunikationspartner. In der Aufbauphase einer verschlüsselten Verbindung handeln diese die verwendete Sicherheits-Protokoll-Version aus (heute normalerweise TLS 1.2). Dabei manipuliert der Angreifer aus seiner MitM Position die Aufbauphase so, dass es für die Kommunikationspartner so aussieht, als würde der einte nur die alte Sicherheits-Protokoll-Version SSLv3 unterstützen. Als Konsequenz etablieren diese eine Verbindung welche mit dem alten Sicherheits-Protokoll SSLv3 verschlüsselt wird. In einem zweiten Schritt nutzt der Angreifer das SSLv3 Problem 'MAC-than-Encrypt' aus um einzelne Bytes der ausgetauschten Daten zu dechiffrieren.
Affected Products: FotiGates in der Default Konfiguration (HTTPS GUI, bei der verwendung folgender Features: VIP load-balance, SSL VPN, wanopt, SIP SSL) FortiMail in der default Konfiguration (HTTPS GUI, mail ssl services: SMTPS, IMAPS, POP3S) FortiAnalyzer FortiManager FortiVoice
References: http://googleonlinesecurity.blogspot.fr/2014/10/this-poodle-bites-exploiting-ssl-30.html https://www.openssl.org/~bodo/ssl-poodle.pdf http://www.heise.de/security/artikel/Poodle-So-funktioniert-der-Angriff-auf-die-Verschluesselung-2425250.html
Solutions: Die Sicherheitslücke kann bei den FortiGates und bei FortiMail durch die Deaktivierung von SSLv3 für die 5 Server welche SSL verwenden geschlossen werden: Einstellungen am FortiOS (FortiGates): GUI (openssl): # config system global # set strong-crypto enable # end (allenfalls verwendete Features:) VIP load-balance (fts): # config firewall vip # edit "your_vip" # set ssl-min-version tls-1.0 # end SSL VPN: # config vpn ssl settings # set sslv3 disable (enabled per default) # end wanopt: # config wanopt ssl-server # edit <profile> # set ssl-min-version tls-1.0 # end SIP SSL (not supported on low end units): # config voip profile # edit <profile> # config sip # set ssl-mode full # set ssl-min-version tls-1.0 Einstellungen an der Fortimail: All: # config system global # set strong-crypto enable # end Zum Zeitpunkt der Artikelerfassung war einzig der Internet Explorer 6 bekannt, welcher nach der Deaktivierung von SSLv3 möglicherweise Kombatibiltätsprobleme aufweisen könnte. Da es sich um eine alte Browserversion handelt (aktuellste IE Version: 11) werden diese Kombatibilitätsprobleme vernachlässigt. D.h. es ist für die Fortigates (4.3.X, 5.0.X, 5.2.X) und für die Fortimail (5.0.X und 5.2.X) keine Patchung vorgesehen. Ein allfälliger Patch für die anderen betroffenen Produkte wird aktuell noch überprüft. Eine alternative Lösung ist die Deaktivierung von SSLv3 im jeweiligen Browser (HowTo gemäss Browser Dokumentation).
"GHOST" vulnerability GNU C Library - 28. Januar 2015 - (CVE-2015-0235)?
Auf allen Linux basierenden System die eine "standard GNU C Library (aka glibc)" benützen, kann über die Library Funktion "gethostbyname()" und über eine "heap overflow condition" auf dem Zielsystem ein Exploit mit bestimmten Paramentern ausgeführt werden.
Impact: Diese Möglichkeit besteht Lokal sowie Remote dh. über die Applikation zB einem Mail Server. Die Funktion "gethostbyname ()" wird benützt um den Namen zB www.fortinet.com aufzulösen um so die entsprechende IP zu ermitteln (resolve hostname to IP).
Affected Products: Alle FortiOS Versionen die eine "embeded" und betroffene "glibc" Version benützen. Wie auch immer die betroffene Funktion wird nicht durch den FortiOS Code selber aufgerufen - sondern über Drittprodukte - und somit ist das FortiOS nicht direkt betroffen. Dennoch folgende Produkte benützen eine "glibc" Version die betroffen ist, jedoch konnte durch interne Test's diese Möglichkeit eines solchen Angriffs ausgeschlossen werden: FortiManager FortiAnalyzer FortiMail FortiVoice FortiRecorder AscenLink FortiSanbbox FortiAuthenticator FortiCache FortiSwitch FortiWAN FortiDDoS FortiADC D series (note: E series is not vulnerable)
References: https://www.qualys.com/research/security-advisories/GHOST-CVE-2015-0235.txt
Solutions: Wie schon erwähnt unter "Affected Products" sind die genannte Produkte resp. FortiOS nicht betroffen. Nichts desto trotz werden für die betroffenen Produke reguläres Update's released dh. die betroffene "glibc" Library werden auf den neusten Stand gebracht. In der Zwischenzeit steht über die IPS Funktion auf einer FortiGate die folgende Signature zur Verfügung: Glibc.Gethostbyname.Buffer.Overflow Zusätzlich sollte verhindert werden, dass für die genannten Produkte das Administration Interface vom Internet her nicht erreichbar ist.
Support Alert
Fortinet Support Bulletin Anouncing Page?
Fortinet Support Bulletin Announcing Page ist eine Seite in der Fortinet von Zeit zu Zeit wichtige Informationen zu BugFixes, Critical Bugs im Zusmmenhang mit dem Support der Fortinet Produkte lanciert:
https://support.fortinet.com/EndUser/Bulletin.aspx
Fortinet Announced neue MAC-Adressen für AccessPoints (FAP)?
Bis anhin hat Fortinet Access Points ausgeliefert basierend auf der MAC Adresse "00:09:0F" (Stand April 2013). Diese MAC Adresse ist direkt verknüpft mit der FortiOS Software auf de Access Points für vers. Funktionen. Nun aus nicht bekannten Gründen werden neu ausgelieferte Fortinet Access Points mit der MAC Adresse "08:5B:0E" ausgeliefert. Dies kann (muss nicht) zu Problemen führen im Betrieb da wie schon erwähnt die MAC Adresse mit dem FortiOS verknüpft ist. Um diese Probleme zu verhindern ist zu beachten mind. FortiOS 5.0.3 auf den Access Points einzusetzen da in diesem Patch Release dem Umstand der neuen MAC Adresse Rechnung getragen wird. Wenn dem nicht Rechnung getragen wird dh. neue MAC Adresse mit FortiOS 5.0.2 auf den Access Points betrieben wird kann dies zu Problemen führen. Nachfolgendes Dokument wurde von Fortinet betreffend diesem Umstand als "Customer Support Bulletin" herausgegeben:
Datei:CSB-130403-1-FortiAP-MAC-Addresses.pdf
Wir bitten allen Kunden zukünftig auf den Access Points mind. FortiOS 5.0.3 einzusetzen. Wenn die Access Points im Zusammenhang mit FortiGate FortiOS 4 MR3 eingesetzt werden siehe folgender Artikel:
FortiAP:FAQ#Welche_Firmware_sollte_auf_einer_FortiGate_und.2Foder_FortiAP_benutzt_werden.3F
Fortinet zieht FortiGate FortiOS 4.3 Patch 13 zurück?
Fortinet hat am 7. May 2013 die neue Firmware für FortiGate's FortiOS 4 MR3 Patch13 zur Verfügung gestellt und hat diese am gleichen Tag zurückgezogen. Probleme gab es im IPSec Bereich (Phase 2) durch die Definition eines Subnets. Als Workaround kann in der Phase2 der Selektor die IP als Bereich definiert werden zB. 192.168.1.1-192.168.1.255. Ist der Selektor als IP in der Form 192.168.1.0/24 definiert kommt es zu Problemen. Weitere Informationen im offiziellen "Customer Support Bulletin" von Fortinet:
Datei:CSB-130507-1-FortiOS-IPSec-VPN.pdf
Wir bitten alle Kunden diese Release nicht zu benutzen und falls bereits angewendet ein Rollback durchzuführen oder als letzte Möglichkeit den Workaround anzuwenden!
NOTE Am 17. Mai 2013 wurde Patch 14 Released. In diesem Release wurde der Fehler korrigiert. Wir bitten alle Kunden die den Patch 13 verwenden mit dem Workaround ein Upgrade auf Patch 14 durchzuführen!
FortiGate/FortiOS Ports down after 248 days of operation?
Bei unten aufgeführten FortiGate Modellen/FortiOS Versionen kann es bei 1G und 10G Ports zu bestimmten Symptomen kommen. Dies speziell nach 248 Tagen dh. Diese Symptome treten nicht per Standard auf sondern treten nur auf wenn auf FortiOS Ebene eine bestimmten Konstellation eintritt. folgende Symptome können auftreten:
Link negotiation errors Port status down Port satus up but no traffic passing Link failure Port interface statistic rx/tx not correct
Folgende Modelle und Module sind betroffen:
FortiGate: 600C/800C/1000C/1240B/3040B/3140B/3240C/3950B/3951B/5001B/5101C/5203B FortiGate FMC Module: C20/F20/XD2 FortiCarrier: 3950B/3951B/5001B
Folgende FortiOS Pachlevel sind betroffen:
FortiOS 4.0 MR2 GA to Patch Release 12 (4.2.12) FortiOS 4.0 MR3 GA to Patch Release 8 (4.3.8) FortiOSCarrier 4.0 MR2 GA to Patch Release 12 (4.2.12) FortiOSCarrier 4.0 MR3 GA to Patch Release 8 (4.3.8)
Ein Workaround ist auf den letzen FortiOS Patchlevel upzugraden. Wenn das Symptome auftritt sollte für eine sofortige Lösung der Device neu gestartet werden! Folgende Support Bulletin von Fortinet gibt Auskunft über dieses Issue:
Datei:CSB-270513-1-port-down-248-days-1.pdf
Der FortiAnalyzer 4.0 MR3 Patch 6 FIPS und CC Zertifiziert?
Folgende Builds basierend auf "4.0 MR3 Patch 6" des FortiAnalyzer wurden FIPS und [CC] Zertifiziert:
FortiAnalyzer-100C, 400B, 400C, 1000C, 2000B, 4000B
Weitere Informationen können über das offizielle Dokument des Support Bulletins entnommen werden:
Datei:CSB-130507-2-FAZ-40MR3P6-FIPS-CC-Certified-Firmware.pdf
FortiClient AV update package causes connectivity issues?
Am 19. Juli 2013 wurde durch Fortinet über das FortiGuard Environment ein Antivirus Definition File Update bereitgestellt mit der Version 17.940! Diese Version des Antivirus Definiton File beinhaltete ein "False Positive". Dies bedeutet das Microsoft File "tcpip.sys" wurde fälschlicherweise als Virus erkannt. Durch diesen "False Positive" wurde das File - sofern auf dem Client ein "scheduled scan" durchgeführt wurde - in die Quarantine verschoben. Effekt daraus war, dass die Netzwerkverbindung des betroffenen Client - durch das verschieben des genannten Files - unterbrochen wurde sowie nicht mehr funktionierte da dieses File "tcpip.sys" benötigt wird auf einem Client um eine erfolgreichen Netzwerkverbindung zu etablieren.
Dieser "False Positive" wurde durch das Defintion File Update am 22. Juli 2013 mit der Version 17.943 korrigiert!
Workaround um den "False Positvie" zu beheben: Kontrollieren Sie im FortiClient ob das File "tcpip.sys" sich in der Quarantine befindet: FortiClient Console > Klicke auf AntiVirus > danach wähle "Threats Quarantined" Befindet sich das File "tcpip.sys" in der Quarantine führe folgendes durch: 1. Download the TCPIP-fix.zip file from the following location and copy to a USB flash drive or similar media: ftp://ftp-temp:r3triev3@support.fortinet.com/dropbox/CSB_Forticlient_17.940/TCPIP-fix.zip 2. Disable the "Real Time Protection" from the FortiClient Console. 3. Shutdown the FortiClient software. 4. Open the cmd prompt with "Run As Administrator" privilege. 5. Perform the command "net stop fortishield". 6. Transfer the TCPIP-fix.zip to the workstation from the USB flash. 7. Extract TCPIP-fix.zip into a folder. 8. Using the command line interface, browse to the extracted folder. 9. Perform "runme.bat" and wait for the script to finish. You will see the following message in the CMD window: Please reboot when Windows reports that it has finished installing adapters. Press any key to continue . . . 10. In the Windows tray, you will see a message "Installing device driver software" and then a second message "Your device is ready to use". 11. Reboot the PC. 12. After the reboot and the network is restored, update the FortiClient AV signatures. 13. Re-enable "Real Time Protection" from the FortiClient Console.
Weitere Informationen können über das offizielle Dokument des Support Bulletins entnommen werden:
Datei:CSB-130724-1 FCT AV package network issue.pdf
FortiWeb connection timeouts during IP Reputation service update?
Bei WebServer'n die über FortiWeb geschützt werden -im Zusammenhang mit dem auf dem FortiWeb aktivierten Service "IP Reputation"- kommt es zu "Connection Timouts". Dieser Fehler stammt vom FortiOS das auf dem FortiWeb eingesetzt wird. Die Auswirkungen sind Performance Einbussen die den Zugriff auf die Web Server die über FortiWeb geschützt werden verlangsamen. Wenn dieser Umstand eintrifft wird auf der Console folgendes angezeigt:
get IP intelligence hash node error(1000000)
Betroffen von diesem Fehler sind folgende FortiOS im Zusammenhang mit FortiWeb:
5.0.0, 5.0.1, 5.0.2
Als Lösung sollte das FortiOS des FortiWeb auf folgenden Release gebracht werden:
5.0.3
Wennn dies nicht möglich ist kann als Workaround der Service/Funktion auf dem FortiWeb der "IP Reputation" deaktiviert werden! Weitere Auskunft gibt folgendes Dokument der diesen Support Alert adressiert:
Datei:CSB-131018-1 FWB Connection Timeouts IP Reputation.pdf
FortiGate Heartbeat Failures if the system uptime is greater than 497 days?
Wenn ein FortiGate HA Cluster mehr als 497 Tage "up and running" ist kommt es zu "heartbeat" Fehlern! Folgende FortiOS sind betroffen:
FortiOS 4.0.0 - 4.3.15 FortiOS 5.0.0 - 5.0.4
Um den Uptime zu überprüfen führe folgendes Kommando aus:
# get sys performance status
Um den "heartbeat" Fehler zu beheben führen einen Neustart des Cluster's durch um die "Sys Uptime" zurück zustellen! Weitere Auskunft gibt folgendes Dokument der diesen Support Alert adressiert:
Datei:CSB-131106-1 FGT Heartbeat failures 497 days.pdf
FortiGate System Freeze mit FortiOS 5.0.5 FGT-3810A / FGT-5001B/C?
Einge Modelle von FortiGate dh. FGT-3810A / FGT-5001B/C mit FortiOS 5.0.5 sind von folgenden Umstand betroffen:
Wenn "heavy-load" im Zusammenhang mit HTTP Traffic auftritt kann ein System Freeze eintreten!
Wenn dies eintritt ist die CLI sowie das Web Mgmt. Interface nicht mehr zugänglich. Dieser Umstand tritt nur auf im Zusammenhang mit den genannten Geräten, bestimmten NP4 Prozessoren und VLAN's sowie FortiOS 5.0.5! Fortinet wird am November 22, 2013 für die betroffenen Geräte einen Patch zur Verfügung stellen. Weitere Informationen findet man im foglenden Support Alert Dokument:
Datei:CSB-131113-1 FGT NP4 Hang Issue.pdf
FortiGuard updates to FortiOS 2.8 to finish?
Am 28. November 2013 kündigt Fortinet an das FortiOS basierend auf Version 2.8 EOL (End Of Life) geht dh. speziell für die IPS Engine 1.000 sowie AV Engine 3.003 werden keine Updates mehr zur Verfügung gestellt sowie die Entwicklung wird eingestellt. Alle FortiGate's basierend auf FortiOS 2.8 sollten so schnell als möglich auf die Version 3.0 gebracht werden um weiterhin betreffend Support sei es IPS und/oder AV Engine zu gewährleisten.
Diese Ankündigung wurde von FortiGate unter folgendem Customer Support Bulletin herausgegeben CSB-131126-1.
FortiGate/FortiManager IPS Engine update Januar/Februar 2014?
IPS Engine Updates werden über FortiGuard für Customer mit gültigen FortiGuard Service periodisch zur Verfügung gestellt. Dabei handelt es sich nicht um die IPS Signaturen sondern die Engine selber. Die nächste zur Verfügung stehenden IPS Engine Update Version ist die Version 2.174. Diese Engine wird allen FortiGate Devices mit FortiOS 5 sowie FortiOS 4.3.12 oder höher gemäss nachfolgenden Zeitplan automatisch zur Verfügung gestellt:
January 27th 10:00 PST – Remaining FortiGate units running 4.3.12 or later patch releases January 29th 10:00 PST – Premium support customer devices running 4.3.12 or later patch releases February 10th 10:00 PST – All FortiManager’s running 4.3.x or 5.0.x software and providing IPS packages to FortiGates running 4.3.12 or later patch releases and all 5.0 versions NOTE In seltenen Fällen kommt es zu kurzfristigen "High CPU" Situation der IPS Engine. Diese "High CPU" Situation sind nur vorübergehender Natur dh. wenn die "High CPU" Situation permanent besteht siehe nachfolgender Artikel: Fortigate:FAQ#Wie_kann_ich_rausfinden_was_ein_High_CPU_verursacht_und_was_kann_ich_dagegen_tun.3F
Wenn Probleme erwartet werden auf der FortiGate etc. kann das automatische Update ebenfalls komplett deaktiviert werden und manuell innerhalb eines Wartungsfenster installiert werden. Dazu stellt Fortinet folgenden Link zur Verfügung um das Packet über folgende Position manuell einzuspielen:
ftp://ftp-temp:r3triev3@support.fortinet.com/CustomerCare/flen-400-2.0174.pkg Einzuspielen über die Position: System > Config > FortiGuard > FortiGuard Subscription Services > IPS Definitions > Update
Um nachträglich die IPS Version auf dem FortiGate Device zu Ueberprüfen kann folgender Befehl auf der CLI ausgeführt werden:
# get syst auto-update version IPS Attack Engine --------- Version: 2.00137
Diese Ankündigung wurde von FortiGate unter folgendem Customer Support Bulletin herausgegeben CSB-140110-1.
Fortinet Information Disclosure Vulnerability in OpenSSL?
Betreffend Details zu diesem "Vulnerability" siehe nachfolgender Artikel:
Fortinet:Support-Alerts#Fortinet_.22Heartbleed.22_OpenSSL_Vulnerabilitly_Remote_Memory_Disclosure_Vulnerability_8._April_2014_.28CVE-2014-0160.29.3F
Weitere Informationen findet man im foglenden Support Alert Dokument:
Datei:CSB-140408-1 OpenSSL Vulnerability.pdf
FortiGuard Updates für FortiOS 3.0 End Of Life?
Fortinet kündigt an, dass die Antivirus Engine (AVE) und IPS Engine (IPSE) im Zusammenhang mit FortiOS 3.0 end of life geht (Juli 2014). Bis Januar 2015 werden keine AV-Engine und/oder IPS-Engine Signaturen Packages für FortiOS 3.0 zur Verfügung gestellt. Ab Januar 2015 wird der Support für FortiOS 3.0 im Zusammenhang mit AV-Engine/IPS-Engine sowie Signaturen Package im FortiGuard Distribution Network komplett eingestellt.
Folgende Produkte sind betroffen:
Alle FortiGate Modelle mit installiertem FortiOS 3.0 Letzte unterstützte Engine Version basiernd auf FortiOS 3.0 - 3.0 MR5: IPS Engine: 1.097 AV Engine: 3.010
Letzte unterstützte Engine Version basiernd auf FortiOS 3.0 MR6: IPS Engine: 1.129 AV Engine: 3.010
Fortinet empfiehlt allen Kunden ein Upgrade auf 4.0 oder höher. Diese Ankündigung wurde von FortiGate unter folgendem Customer Support Bulletin herausgegeben CSB-140514-1:
Datei:CSB-140514-1 FGD updates 30 .pdf
FortiDDoS upgrading to 4.1.0 / 4.1.1
Fortinet hat ein Support Bulletin herausgegeben betreffend FortiDDoS Upgrade auf 4.1.0 / 4.1.1. In diesem Support Bulletin wird darauf hingewiesen, dass beim einem Upgrade für FortiDDoS 4.1.0 / 4.1.1 den Release Notes strikte zu folgen ist speziell betreffend Bios Konfiguration. Um den Upgrade Prozess einfach zu gestalten hat Fortinet dieses Upgrade aus dem Downloadbereich entfernt. Kunden die in der Zwischenzeit ein Upgrade betreffend FortiDDoS 4.1.0 / 4.1.1 durchführen wollen müssen -da das Image über den Downloadbereich nicht mehr zur Verfügung steht- ein Ticket eröffnen. Nach dem eröffnen des Tickets erhält der Kunde Hilfe wie das Upgrade durchzuführen ist sowie das Image für das Upgrade selber. Diese Ankündigung wurde von FortiGate unter folgendem Customer Support Bulletin herausgegeben CSB-140702-1 / CSB-140728-1:
Datei:CSB-140702-1 FDD upgrade.pdf
FortiGate FortiOS 5.2.1 "IPSec tunnels (DHCP interface) do not come up after reboot"?
Fortinet hat ein Support Bulletin rausgebracht betreffend FortiOS 5.2.1 im Zusammenhang mit IPSec und DHCP Interface. Wenn ein IPSec Tunnel konfiguriert wird basierend auf einem FortiGate Interface (zB wan1) das dessen IP über DHCP bekommt wird der IKE Deamon/Service nach einem Neustart der FortiGate nicht mehr gestartet. Der Grund dafür ist der Folgende: Nach dem Neustart versucht der IKE Deamon den lokalen Gateway zu verifizieren. Da dies nicht möglich ist wird der IKE Deamon/Service nicht gestartet. Dieser Umstand betrifft "nur" Interface's die Ihre IP über einen DHCP Server bekommen dh. Interface's die statisch konfiguriert sind, sind nicht betroffend von diesem Umstand. Dieses Problem ist bekannt unter Bug ID:
Reference Bug ID: 254898
Affected Products: Alle FortiGate basierend auf FortiOS 5.2.1 (FortiOS 5.2.0 ist nicht betroffen)
Workaround: Um diesem Bug entgegenzutreten gibt es vers. Workaround: Workaround 1: Nachdem Neustart/Reboot muss der IKE Deamon manuell neu gestartet werden: Benütze auf der Kommandozeile folgendes Kommando: # diagnose sys top 20 40 # diagnose sys kill -9 <pid> Beispiel: # diagnose sys top 20 40 ... iked 70 S 0.0 1.1 # diag sys kill -9 70 NOTE Um die Prozess ID des IKE Deamons/Service zu erurieren kann ebenfalls folgender Befehl benützt werden: # fnsysctl more /var/run/iked.pid 70 Workaround 2: Roll-back resp. Downgrade auf 5.2.0 (Diesen Weg empfehlen wir nicht). Workaround 3: Sofern möglich Konfiguration einer "statischen" IP auf dem FortiGate Interface.
Resolution: Dieser Bug mit der ID 254898 wird in FortiOS 5.2.2 behoben sein. Release Datum für diese Version ist voraussichtlich 10. Oktober 2014.
Diese Ankündigung wurde von FortiGate unter folgendem Customer Support Bulletin herausgegeben CSB-140924-1:
Datei:CSB-140924-1 IPSec DHCP Interface.pdf
FortiGate-100D 4th Generation Supported Code Versions (Inkompatibilität zu FortiOS Versionen)?
Fortinet hat für die FG-100D eine 4te Generation released. Bei diesem Release der Hardware sprich der 4ten Generation "kann" eine Inkompatibilität auftreten mit vers. FortiOS Versionen. Wenn so eine Inkompatibilität existiert/eintritt kann der Device nicht ordnungsgemäss Neu gestartet werden (unit fails to boot-up).
Affected Products: FG-100D in der 4ten Generation können folgendermassen Identifiziert/verifiziet werden: # get system status Wenn im Output folgende Part Nummer erscheint handelt es sich um eine FG-100D in der 4ten Generation: Part Number: P11510-04 Eine FortiGate-100D in der 4ten Generation trägt die folgende Hardware ID: Hardware ID: C4LL40-04AA-0000 Folgende Serien Nummern sind betroffen: Serial Number: FG100D3G14812216 und höher Ebenfalls sind folgende Serien Nummern betroffen: FG100D3G14808002 FG100D3G14808003 FG100D3G14808005 FG100D3G14808006 FG100D3G14808007 FG100D3G14808008 FG100D3G14808009 FG100D3G14808010 FG100D3G14808011 FG100D3G14808013 FG100D3G14808014 FG100D3G14808015
Affected Products: FortiOS Versionen 4 MR3 ausser 4 MR3 Patch 18 FortiOS Versionen 5.0 ausser 5.0 Patch 8
Resolution: Update oder neu Staging des Devices auf FortiOS 4 MR3 Patch 18 und/oder FortiOS 5.0 Patch 8
Diese Ankündigung wurde von FortiGate unter folgendem Customer Support Bulletin herausgegeben CSB-141117-1:
Datei:CSB-141117-1-100D-Supported-Code-Version.pdf
FortiGate FG-80C fails to load FortiOS image 5.2.x?
Fortinet hat ein Support Bulletin rausgebracht betreffend FortiOS 5.2 im Zusammenhang mit dem Upgrade Prozess auf 5.2.0, 5.2.1, or 5.2.2 einer FortiGate/WiFi 80C. Dies bedeutet: Wird ein Upgrade durchgeführt auf die genannten Versionen und der Device der FortiGate/WiFi 80C verfügt über ein Bios Version "4000007" oder tiefer "kann" es zu einem Fehler führen. Die Bios Version kann mit folgenden Kommando "vor" einem Upgrade verifiziert werden:
# get sys status Version: FortiWiFi-80CM v5.0,build0292,140801 (GA Patch 9) Virus-DB: 16.00560(2012-10-19 08:31) Extended DB: 1.00000(2012-10-17 15:46) IPS-DB: 4.00345(2013-05-23 00:39) IPS-ETDB: 0.00000(2001-01-01 00:00) Serial-Number: FW80CM3900000000 Botnet DB: 1.00000(2012-05-28 22:51) BIOS version: 04000006 Log hard disk: Not available
Affected Products: FortiGate: FG-80C, FG-80CM FortiWiFi: FW-80CM, FW-81CM
Resolution: Die Software Version resp. Image der "Affected Products" wurden neu erstellt basierend auf FortiOS 5.2.2 und über den Download Bereich neu zur Verfügung gestellt. Die neu erstellten Images tragen das Datum vom 6. Januar 2015. Somit sollten alle vorhandenen Images die ein früheres Datum tragen gelöscht werden.
Diese Ankündigung wurde von Fortinet unter folgendem Customer Support Bulletin herausgegeben CSB-150109:
Datei:CSB-150109-1 FG-80C failes to load.pdf
FortiAnalyzer Limited Support for Remote SQL Database?
Ab der FortiAnalyzer Versionen 5.0.7 und 5.2.0, werden Remote SQL Datenbank nur dahingehend unterstützt, dass "ausschliesslich" die Log Informationen in die SQL Datenbank geschrieben werden. Dies bedeutet: Funktionen wie "Historische Log Suche" und "Reporting Möglichkeiten" werden ab den genannten Versionen nicht mehr unterstützt.
Affected Products: Alle FortiAnalyzer Versionen inkl. Devices ab der Version 5.0.7 sowie 5.2 die eine "Remote SQL Datenbank" benutzen.
Resolution: Es wird empfohlen die "Locakle Datenbank" eines FortiAnalyzer's zu benutzen.
Diese Ankündigung wurde von Fortinet unter folgendem Customer Support Bulletin herausgegeben CSB-150204-1:
Datei:CSB-150204-1-FAZ-Remote-SQL.pdf