[English]Ganz kurzer Hinweis, auf den mich auch ein Blog-Leser hingewiesen hat. Forti hat zum 8. Februar 2024 alle FortiOS-Versionen neu released. In den Release Notes steht nicht, was an diesen Versionen gefixt wurde. Der Leser bestätigte mir unter der Hand die Vermutung, dass es wieder einen kritischen SSLVPN Bug gibt.
Anzeige
Aktuell wird noch nichts veröffentlicht, um Angreifer davon abzuhalten die Lücke auszunutzen. Ich verweise auch auf meinen Beitrag Sammelbeitrag: Sicherheitsvorfälle und -Meldungen (8.2.2024). Zudem haben die Kollegen von Bleeping Computer diesen Artikel mit einer Liste der Updates publiziert. Ergänzung: Bleeping Computer hat diesen Artikel über zu erwartende Angriffe veröffentlich.
Ein zweiter Leser schrieb mir (mit Verweis auf diesen reddit.com-Beitrag) dazu: Es gibt Firmware Upgrades für Fortinet bis herunter zur Version 6.2 (die eigentlich gar nicht mehr supported ist). Was genau gepatcht wird ist unklar, aber oft werden die Release Notes mit den Sicherheitslücken erst ein paar Tage später von Fortinet gefüllt.
Schwachstelle CVE-2024-21762 in FortiOS
Ergänzung 2: Inzwischen haben die FortiGuard Labs die Sicherheitswarnung FortiOS – Out-of-bound Write in sslvpnd veröffentlicht. Es gibt eine Out-of-Bounds-Write-Schwachstelle [CWE-787] in FortiOS. Der CVSSv3 Score liegt bei 9.6. Diese Schwachstelle CVE-2024-21762 könnte es einem entfernten, nicht authentifizierten Angreifer ermöglichen, beliebigen Code oder Befehle über speziell gestaltete HTTP-Anfragen auszuführen. Tenable hat in diesem Beitrag noch einige Hinweise gegeben.
FortiGuard empfiehlt, SSL VPN zu deaktivieren (den Webmode deaktivieren ist keine gültige Abhilfe), da diese Schwachstelle potentiell ausgenutzt werden wird. Hier noch die Liste der betroffenen FortiOS-Versionen sowie die Upgrades zum Schließen.
| Version | Affected | Solution |
|---|---|---|
| FortiOS 7.4 | 7.4.0 through 7.4.2 | Upgrade to 7.4.3 or above |
| FortiOS 7.2 | 7.2.0 through 7.2.6 | Upgrade to 7.2.7 or above |
| FortiOS 7.0 | 7.0.0 through 7.0.13 | Upgrade to 7.0.14 or above |
| FortiOS 6.4 | 6.4.0 through 6.4.14 | Upgrade to 6.4.15 or above |
| FortiOS 6.2 | 6.2.0 through 6.2.15 | Upgrade to 6.2.16 or above |
| FortiOS 6.0 | 6.0 all versions | Migrate to a fixed release |
| FortiProxy 7.4 | 7.4.0 through 7.4.2 | Upgrade to 7.4.3 or above |
| FortiProxy 7.2 | 7.2.0 through 7.2.8 | Upgrade to 7.2.9 or above |
| FortiProxy 7.0 | 7.0.0 through 7.0.14 | Upgrade to 7.0.15 or above |
| FortiProxy 2.0 | 2.0.0 through 2.0.13 | Upgrade to 2.0.14 or above |
| FortiProxy 1.2 | 1.2 all versions | Migrate to a fixed release |
| FortiProxy 1.1 | 1.1 all versions | Migrate to a fixed release |
| FortiProxy 1.0 | 1.0 all versions | Migrate to a fixed release |
Inzwischen wurde bekannt, dass es massive Angriffswellen auf die Fortinet-Produkte gibt.
2015
War der Release nicht schon gestern, also zum 7.Feb.?
Ich sehe überall nur "2024-02-07 Initial release."
https://docs.fortinet.com/document/fortigate/7.4.3/fortios-release-notes/553516/change-log
Ja du hast recht der war gestern Abend schon. Habe die erst heute morgen gelesen und nicht aufs Datum geschaut, darum meinte ich es wäre von heute :-)
Alles klar :)
Ich wollte nur sicher gehen, dass wir von den gleichen Release reden.
Forti scheint nach dem Motto "Ein Tag ohne Pressemeldung über uns ist ein schlechter Tag" zu leben.
Es gibt einen SSLVPN Bug und auch einen für den FortiManager Zugriff, wie unser Partner uns gestern Abend informierte. Die FW haben wir sofort heute Mittag aktualisiert.
Definitiv ein schwerer SSLVPN Bug im Forti OS.
Wir sind am updaten von +200 Kunden Firewalls.
Kleiner Hinweis für Admins die von 7.0.12 oder so kommen:
Before FortiOS 6.4.9 / 7.0.1 all IP addresses in the IP pool and VIP are considered as local IP if arp-reply is enabled (following the FortiOS logic one IP can be bound to one interface). In FortiOS 6.4.9-6.4.14 / 7.0.1-7.0.12 / 7.2.0-7.2.5 / 7.4.0, the IP pool / VIP IP addresses are no longer considered local.
This change was reverted in versions 6.4.15, 7.0.13, 7.2.6 and 7.4.1. From these versions onwards, IP pools and VIPs will again be considered as local IP addresses.
https://community.fortinet.com/t5/FortiGate/Technical-Tip-ARP-reply-setting-in-Virtual-IP-IP-Pool/ta-p/192527
Was mich aktuell stört, dass ich davon nur über Portale wie diesen Blog Wind bekomme.
Hallo Forti, ich bezahle Support/Wartung! Zeigt mir eine die Verfügbarkeit einer neueren Version wenigstens auf der Status-Page der Firewall an! Dafür gibt's die verdammte Forticare-Verbindung doch! Oder schickt ne Mail!
Bei uns soll in naher Zukunft auf Fortinet Produkte gewechselt werden, was die Firewall angeht. Ich frage mich langsam, ob man das wirklich will.
Ganz schlechte Idee würde ich sagen. Ich würde das sicher überdenken bzw. auf jeden Fall einen anderen Hersteller wählen (PaloAlto oder Sophos)!?
also wir lassen uns per rss feed informieren
https://community.fortinet.com/t5/FortiGate/Technical-Tip-Subscribe-to-RSS-feeds-for-alerts-on-new-Fortinet/ta-p/24857
Wir haben auch Fortis im Einsatz und die letzten kritischen Updates haben wir erst durch den Blog hier oder heise mit bekommen. Und dafür zahlen wir Wartung , Support usw. dass man in den Medien die Infos bekommen.
Eine Schande was Forti hier abzieht mit der Informations Politik.
Kemp hat uns direkt wegen dem loadmaster Update angeschrieben heute.
@Stefan +@Mario Stockinger:
Es gibt einen RSS-Feed von Fortinet der laufend über neue Firmwarestände und einen zweiten über weitere wichtige Infos Bescheid gibt. Einfach im Support-Portal schauen.
https://pub.kb.fortinet.com/rss/firmware.xml und wenn alle FWs am gleichen Tag released werden und nur BlaBla in den Release-Note steht, so ist ein ausserordentlicher Patchday angesagt….
Die verzögert Kommunikation ist für mich ok, so hat man genug Zeit, um zu patchen, das macht ja ESET auch so ….
Danke, guter Hinweis. Dennoch erwarte ich das auf "regulären" Kanälen. Wenn ich für jedes einzelne Produkt/Hersteller bei einem Feed anmelden müsste, kann ich auch gleich auf nur noch Community Blogs/X lesen.
Ich bin jeden Tag auf den Firewalls unterwegs und wenn mir da im Status alles "grün" gezeigt wird, obwohl es einen kritischen Patch gibt, ist das einfach nachlässig.
Technisch liebe ich diese Firewalls, aber die Kommunikation von Fortinet ist eine Katastrophe (auch bei Tickets wird gern abgewimmelt).
Dürften dann wohl die beiden Lücken sein
– https://www.fortiguard.com/psirt/FG-IR-24-015
– https://www.fortiguard.com/psirt/FG-IR-24-029
Bug oder aufgeflogene Backdoor?
Version 6.2 ist noch im Support. Wir haben noch eine 51E, welche noch bis Ende nächsten Jahres Support hat. Für diese Geräte gibt es nur die Version 6.2.
Nutzt ernsthaft jemand Forti Produkte? Wie sagt Fefe so schön "Königsklasse! In der "oh Mann ist das peinlich"-Liga". Die Anzahl der vertrauenswürdigen Anbieter tendiert gegen Null.
Welchen Anbieter willste den noch nehmen. Es gibt keinen mehr der nicht was verhunzt hat in seinen Produkten.
Ich kann mir nicht vorstellen das Opnsense, Pfsense wirkliche alternativen sind im Businessbereich.
Umso weiter die da oben mitspielen, umso weniger scheißen die sich was wenn es um Patchen, Löcher flicken und wichtige Infos rausgeben geht.
Die 90G (relativ neues Modell) ist noch nicht im normalen Firmware Train und der aktuellste Stand ist weiterhin 7.0.13, auf Anfrage per Ticket gab es bisher keine Reaktion. Auch immer wieder schön :) (:
Falls mal jemand drüber fällt: Letzte Februarwoche ist geplantes ReleaseDate für die Box von 7.0.14 und damit der Fix für die Sicherheitslücke
Spass am Freitag: Die Sonicwalls haben sich auch mal wieder bei den angreifbaren SSl VPNs eingereiht.
—-
Unabhängig davon sehe ich gerade nicht was die viel besseren Alternativen sein sollen, die Dinger sind ok und bekommen wenigstens ihre Patches.
Was ist denn das Schwierige/Problem mit SSL-VPNs?
Ich weiss es nicht, aber gefühlt ist es für Firewallhersteller das was für Microsoft der Druckerdienst ist.