[English]Ich stelle mal eine Information in den Blog, die mir von einem Leser zugegangen ist (danke dafür). Kunden, die Fortinet-Produkte von der Telekom mit administrieren lassen, sind vermutlich von einer Schwachstelle im FortiManager tangiert. Die Telekom informiert Kunden über einen möglichen Datenabfluss über deren zentrale Admin-Oberfläche für Fortigate.
Anzeige
Fortinet SASE der Telekom
Die Deutsche Telekom bietet für Business-Kunden SD-WAN auf Basis Fortinet an und wirbt mit einer "umfassenden Sicherheitsstrategie für die Digitalisierung Ihres Netzwerkes".
Telekom SD-WAN auf Basis Fortinet ist Bestandteil des voll integrierten Security Ökosystems mit einem zentralen Management, wirbt der Anbieter – also eine Lösung aus einer Hand, wo sich der Kunde nicht um die Fortinet-Infrastruktur kümmern muss.
FortiManager-Schwachstelle CVE-2024-47575
Zum 30. Oktober 2024 hat Fortinet den Sicherheitshinweis Fortinet Updates Guidance and Indicators of Compromise following FortiManager Vulnerability Exploitation zum FortiManager veröffentlicht.
Anzeige
Fortinet hat seinen Sicherheitshinweis zu einer kritischen FortiManager-Schwachstelle (CVE-2024-47575) aktualisiert und dabei zusätzliche Umgehungsmöglichkeiten und Kompromissindikatoren (IOCs) hinzugefügt. Ein nicht authentifizierter Cyber-Bedrohungsakteur könnte diese Schwachstelle remote ausnutzen, um Zugriff auf sensible Dateien zu erhalten oder die Kontrolle über ein betroffenes System zu übernehmen. Fortinet hatte Mitte Oktober 2024 Patches zum Schließen der Schwachstelle veröffentlicht.
Es hat bei der Telekom gescheppert
Ein Blog-Leser, der Kunde bei der Deutsche Telekom ist und die obige Fortinet-Lösung nutzt, hat sich per E-Mail bei mir gemeldet (danke dafür). Er wurde von der Telekom zum 7. November 2024 über "einen Datenabfluss" informiert. Der Meldung entnehme ich, dass Fortinet am 23. Oktober 2024 eine Sicherheitslücke in Bezug auf das Produkt FortiManager gemeldet und einen entsprechenden Patch bereitgestellt hat.
Laut Telekom-Mitteilung wurde der Patch zum Schließen der Schwachstelle unmittelbar, d.h. bereits am 24. Oktober 2024, installiert. Aber es gab eine Kompromittierung, die die Telekom auf Grund eigener forensischer Untersuchungen festgestellt hat.
Bereits rund einen Monat (am 22. und 23. September 2024) bevor Fortinet seine Schwachstelle veröffentlicht hat, sind zwei unautorisierte Zugriffe auf den zentralen FortiManager der Deutsche Telekom erfolgt. Dafür wurde die mittlerweile geschlossene Sicherheitslücke genutzt. Bei diesen Zugriffen könnten auf dem zentralen System abgespeicherte Informationen abgeflossen sein. Fortinet hat die Telekom informiert, dass die Angreifer auf folgende Daten zugegriffen haben können:
- Admin Users Accounts
- Certificate's private key and password (In case of ssl offloading/deep inspection/ipsec auth)
- VPN Pre-Shared Keys
- Local user accounts
- TACACS Key
- LDAP / Active Directory Passwords
- RADIUS Secret Keys
- SNMP Secrets
- OSPF/BGP Neighbour Passwords
- Wireless SSID / Mesh Keys
- Passwords stored inside automation stitches
- PPPoE Passwords
- SMTP Passwords
- HA Pre-shared Keys Cluster Password
- Konfigurationsdaten der Firewall
Also quasi die Kronjuwelen der Kunden. Die Telekom schreibt: "Da die Firewall-Komponenten, die wir für Sie betreiben, über den zentralen FortiManager administriert werden, werden wir maximale Vorsicht walten lassen und sämtliche Eventualitäten ausschließen."
Die Telekom fordert Kunden zur Sicherung der Firewalls auf, alle oben genannten Passwörter und Schlüssel auf der Kunden-Firewall (sofern diese die Firewall selbst administrieren) zu ändern. Sollten diese Passwörter und Schlüssel auch an anderer Stelle verwendet worden sein, sind diese ebenfalls zu ändern.
Für alle Firewalls, die durch die Telekom administriert werden, führt diese die notwendigen Maßnahmen in Abstimmung mit den Kunden durch. Die Telekom gibt an, bereits sämtliche User Accounts für alle Firewalls erneuert, die administrativen User Accounts für den zentralen FortiManager, sowie für die Radius-Zugänge geändert zu haben.
Mitteilung der Deutsche Telekom – Information über Maßnahmen zur Schließung der Sicherheitslücke Fortinet FortiManager
Sehr geehrte Damen und Herren,
seit unser Lieferant Fortinet am 23. Oktober 2024 eine Sicherheitslücke in Bezug auf das Produkt FortiManager gemeldet und einen entsprechenden Patch bereitgestellt hat, beobachten wir die Situation sehr aufmerksam. Zwar haben wir diesen Patch – wie vom Hersteller empfohlen – unmittelbar am 24. Oktober entsprechend eingesetzt. Aus heutiger Sicht möchten wir Sie dennoch bitten, unverzüglich weitere Maßnahmen zu ergreifen.
Wir haben mit eigenen forensischen Untersuchungen festgestellt, dass bereits rund einen Monat bevor Fortinet seine Schwachstelle veröffentlicht hat, zwei unautorisierte Zugriffe auf unseren zentralen FortiManager erfolgt sind (22. und 23. September 2024). Dafür wurde die mittlerweile geschlossene Sicherheitslücke genutzt. Bei diesen Zugriffen könnten auf dem zentralen System abgespeicherte Informationen abgeflossen sein. Wir haben Fortinet hierzu kontaktiert. Das Unternehmen gibt an, dass es sich dabei um folgende Daten handeln könnte:
Admin Users Accounts
Certificate's private key and password (In case of ssl offloading/deep inspection/ipsec auth)
VPN Pre-Shared Keys
Local user accounts
TACACS Key
LDAP / Active Directory Passwords
RADIUS Secret Keys
SNMP Secrets
OSPF/BGP Neighbour Passwords
Wireless SSID / Mesh Keys
Passwords stored inside automation stitches
PPPoE Passwords
SMTP Passwords
HA Pre-shared Keys Cluster Password
Konfigurationsdaten der FirewallDa die Firewall-Komponenten, die wir für Sie betreiben, über den zentralen FortiManager administriert werden, werden wir maximale Vorsicht walten lassen und sämtliche Eventualitäten ausschließen.
Um Ihre Firewall vor unautorisierten Zugriffen zu schützen, ändern Sie bitte alle der oben genannten Passwörter und Schlüssel auf Ihrer Firewall (sofern Sie Ihre Firewall selbst administrieren). Sollten diese Passwörter und Schlüssel auch an anderer Stelle verwendet worden sein, sind diese ebenfalls zu ändern.
Für alle Firewalls, die durch die Telekom administriert werden, führen wir die notwendigen Maßnahmen in Abstimmung mit Ihnen durch.
Wir haben unsererseits bereits sämtliche User Accounts für alle Firewalls erneuert, die administrativen User Accounts für den zentralen FortiManager, sowie für die Radius-Zugänge geändert.
Nähere Details über diese Sicherheitslücke finden sich hier oder hier.
Anzeige
Ich weiß nicht, was ich nun schlimmer finden sollte. Der Datenabfluss oder die Tatsache, dass die Telekom FortiSchrott(meine Meinung aufgrund 10 jähriger Erfahrung) benutzt…..
Was ist denn deine Empfehlung für Carrier-Grade Firewall-Systeme? Der Datenabfluss ist unschön, keine Frage, aber die ganzen Hersteller von Firewall-Systemen kochen alle nur mit Wasser und da hätte es jeden treffen können.
Der fail hier ist eher das die Verbindungen zu dem manager nicht auf source gefiltert wurde.
FortiManager 7.6.0 Best Practices
Place the FortiManager behind a firewall, such as a FortiGate, to limit attempts to access the FortiManager device.
https://docs.fortinet.com/document/fortimanager/7.6.0/best-practices/380333/security-best-practices
> die ganzen Hersteller von Firewall-Systemen kochen alle nur mit Wasser und da hätte es jeden treffen können
Es trifft nur nicht jeden, sondern sein Jahren regelmäßig einen und das beständig mit Sicherheitslücken von der schwersten Sorte.
Wenn man sich die Details dieser Lücken anschaut sind das dann Angelegenheiten, die einer Firma unwürdig sind, die angetreten ist, die Sicherheitsprobleme ihrer Kunden zu kompensieren.
Das ist natürlich für die Kunden sehr übel und es kann potentiell weitere Breaches nach sich ziehen. Die Telekom wurde hier aber offenbar einen Monat vor dem Release des Patches durch einen Zeroday attackiert. Sehr schwer sich dagegen zu verteidigen.
Immerhin gibt es offenbar ausreichendes Logging, so dass man den Angriff zumindest nachträglich erkennen konnte. Dass die Info an die Kunden erst zwei Wochen nach dem Patch erfolgt erscheint mir recht lang. Sonst wüsste ich nicht was die Telekom hätte anders / besser machen sollen.
Es zeigt einmal wieder, dass es absolute Sicherheit nicht gibt. Man kann Glück haben und ein betroffenes Produkt nicht verwenden, aber ein bisschen Roulette spielen wir alle jeden Tag. Der nächste Zeroday kommt ganz bestimmt.
> Die Telekom wurde hier aber offenbar einen Monat vor dem Release des Patches durch einen Zeroday attackiert. Sehr schwer sich dagegen zu verteidigen.
Der FMG hatte sich zuvor schon einen Ruf erarbeitet. Die Liste der CVEs für dieses Produkt ist ebenso lang wie beunruhigend. Diese weitere RCE kam nur überraschend für Leute, die mit der Materie nicht vertraut sind.
Eine Sache ist mir bei der Thematik unklar:
Wie kamen die Angreifer überhaupt an den FortiManager ran, um diese Lücke ausnutzen zu können?
Das ist aus meiner Sicht ein Komponente, die nur intern erreichbar sein muss. Und das bei einem professionellen Anbieter doch mind. über gut gesicherte Jumphosts. Also entweder ist sie das bei der Telekom aus unerfindlichen Gründen nicht, oder der Angreifer war tief im internen Netz unterwegs.
Wir haben vor Kurzem entschieden den FortiManager für unsere über einige Standorte verteilten Firewalls zu erwerben. Ich habe diese Lücke wahrgenommen, aber auf Grund der vermeintlich fehlenden Erreichbarkeit aus dem Internet als weniger relevant eingestuft. Übersehe ich etwas?
Nach meinem Verständnis der Lücke sehe ich das genau so. Wieso ist der Port 541 (permanent) erreichbar für jedermann? Oder ist das bewusst by Design so?
Kann ja nur wegen dem Feature ZeroTouch Deployment sein. Wenn Kunden keine feste IP haben, dann stelle ich mir das ohne offenen Port nur schwer vor. Aber das muss Fortinet by Design ändern.
Ein Anwendungsfall, speziell im Bereich von Telekommunikationsanbietern, ist es den Kunden die Fortigates zu schicken, diese Verbinden sich dann zum FortiManager, werden authorisiert und sind ab dann über den FortiManager zu managen.
Da geht es dann nicht um einzelne Appliances sondern teils hunderte am Tag.
Da das Angebot nicht immer an eine Leitung vom selben ISP gebunden ist und dynamische public IPs unterstützt werden, sind die FortiManager des Anbieters dann offen im Netz erreichbar damit sich die FortiGates registrieren können, ohne Whitelist etc.
Zum Vorfall selbst sei gesagt, dass der Patch das Problem wohl nicht behoben hat:
"we're back, and despite all the buzz about FortiManager – the saga is about to continue.
Please, remove this from the Internet *even if fully patched*
speak soon."
Das ist vom X Account von watchTowr, in deren Blog gibt es auch einen weiteren interessanten Artikel zum FortiManager.
Aber seien wir ehrlich, die Leute die hier auf Fortinet schimpfen und keine "besseren"Alternative nennen, sind dann die, die Cisco oder PaloAlto kaufen und über deren Trackrecord hinweg sehen.
Gibt einige mir bekannte Service Provider die Ihren FortiManager auch mit einem Bein nach extern veröffentlicht haben. Müsste mal nach der Notwendigkeit bzw. dem Benefit Nachfrage. Ansonsten kenne ich die auch nur intern nochmal separiert bereitgestellt.
Ich lese das Mail so, dass zumindest den Kunden gegenüber der FortiManager exponiert ist: "ändern Sie bitte alle der oben genannten Passwörter und Schlüssel auf Ihrer Firewall (sofern Sie Ihre Firewall selbst administrieren)"
Dann genügte es wohl, in das Netzwerk eines der Kunden einzudringen.
Das kann eigentlich nicht sein. Die Management IP kann man ja nicht spoofen. Denke das die Telekom hier alles richtig gemacht hat. Schlimmer wäre es, wenn man nicht einmal informiert hätte. So stelle ich mir die Arbeit eines Providers vor. Nichts ist 100% sicher.
Moin,
es gibt auch eine Fortimanager Cloud Instanz, die von Fortinet betrieben und überwacht wird, neben der Möglichkeit Onpremise laufen zu lassen.
Verwende ich aber nicht und kann ich nichts zu sagen :D
MfG,
Blackii
Die Manager in der Cloud waren ebenso betroffen: A missing authentication for critical function in FortiManager 7.6.0, FortiManager 7.4.0 through 7.4.4, FortiManager 7.2.0 through 7.2.7, FortiManager 7.0.0 through 7.0.12, FortiManager 6.4.0 through 6.4.14, FortiManager 6.2.0 through 6.2.12, Fortinet FortiManager Cloud 7.4.1 through 7.4.4, FortiManager Cloud 7.2.1 through 7.2.7, FortiManager Cloud 7.0.1 through 7.0.12, FortiManager Cloud 6.4.1 through 6.4.7 allows attacker to execute arbitrary code or commands via specially crafted requests.
Ich finde es schon beachtlich wie Forti regelmässig durch kritische Sicherheitslücken auffällt und diese sich auch in der schieren Anzahl vom Wettbewerb abheben. Als Kaufinteressent ist das sehr auffällig und hebt sich deutlich von den Enterprise Wettbewerbern im Enterprise Firewall Umfeld ab. Forti versucht das zwar alles mit Transparenz usw. abzutun, aber letztendlich hinterlässt das keinen guten Eindruck. Wer will sich so ein System an den Perimeter stellen, ohne zweite Line of Defense dahinter?
Ich sehe das Problem weniger in dem Produkt von Fortinet als in der Tatsache das eine Sicherheitslösung über die Cloud verwaltet oder über das Internet erreichbar ist. 0-Day Lücken wird es immer und bei jedem Hersteller geben.
Für alle die auf Fortinet rumhacken.
Ich sehe das genau andersrum.
Wenigstens veröffentlichen die die Sicherheitslücken.
Jeder Firewallhersteller der behauptet er hätte keine fixt die dann wohl klammheimlich und sagt nichts.
Und es ist halt auch so das Forti in der breiten Masse ankommt. Natürlich haben die dann Prozentual gesehen deutlich mehr als andere.
Siehe Windows vs Mac. Auf Mac gibts nur weniger Sicherheitslücken weil weniger im Einsatz und damit ein weniger lohnendes Ziel.
Wenn man mal genau suchen würde steht imho macOS nem Windows in Sachen Lücken in nichts nach.
Das klingt nur mittelbar logisch. Denn es ist nur eine Annahme, dass "weniger beliebt" == "mehr Sicherheitslücken weil nicht im Fokus". Das KANN korrelieren. MUSS aber nicht. Denn es gibt nunmal schlicht und ergreifend bessere technische Designs und schlechtere.
Bei Fortigate ist das sogar sicher so, die *Art* der Fehler sucht seinesgleichen. Daraus einen Vorteil herbeizuschwadronieren ist schon ein starkes Stück, zumal Fortigate bei weitem keine solche beherrschende Stellung hat wie Windows.
> Wenigstens veröffentlichen die die Sicherheitslücken.
Als ob sie eine Wahl hätten.
> Jeder Firewallhersteller der behauptet er hätte keine fixt die dann wohl klammheimlich und sagt nichts.
0-Days lassen sich nicht heimlich fixen.
Noch unbekannte Bugs heimlich zu fixen ist bei kritischen Fehlern risikoreich, da eine übliche Methodik an Exploits zu kommen das heraus-diffen der Änderungen in Patches ist. Also eine kritische Lücke heimlich zu patchen in einem weit verbreiteten Produkt, das im Internet erreichbar ist, führt eher dazu, dass der Patch verspätet eingespielt wird (ist ja nicht kritisch) während potentiell die Exploit-Welle losrollt.
Forti publiziert einfach deswegen viele Sicherheitslücken, weil sie viele haben. Die technischen Details der Sicherheitslücken lassen auch erkennen wieso: Mit sicherer Softwareentwicklung haben sie es anscheinend nicht so.
> Und es ist halt auch so das Forti in der breiten Masse ankommt. Natürlich haben die dann Prozentual gesehen deutlich mehr als andere.
Nein. Die Probleme sind alle schon da, es suchen vielleicht nur mehr Leute öffentlich danach. Andere Organisationen suchen und exploiten weniger öffentlich. Ich erinnere hier nur an die COATHANGER backdoor, die durch Chinesische Hacker in 2022/2023 installiert wurde auf schätzungsweise 20000 Fortigates. In dieser Liga des Versagens spielen nur ganz wenige Hersteller mit.
> Siehe Windows vs Mac. Auf Mac gibts nur weniger Sicherheitslücken weil weniger im Einsatz und damit ein weniger lohnendes Ziel.
Oder es gibt tatsächtlich weniger Sicherheitslücken, weil MacOS nicht 40 Jahre Historie mitschleppt, inklusive einer gerüttelten Menge Legacy-Code, schrottiger Protokolle und architektonischer Fehlentscheidungen, die aufgrund von Rückwärtskompatibilität leider nicht abgeschafft werden können.