mysticfoxde
Goto Top

FORTINET - Schon wieder Updates die zum Teil gefährliche Lücken schliessen

Moin Zusammen,

bei Fortinet ist aufgrund von zum Teil kritischen Lücken, mal wieder ASAP Patchtime angesagt. 😔

Weitere Infos:
https://www.heise.de/news/Sicherheitsupdates-Fortinet-ruestet-Produkte-g ...

https://fortiguard.fortinet.com/psirt/FG-IR-24-036 (Medium)
"A stack-based overflow vulnerability [CWE-124] in FortiOS, FortiProxy, FortiPAM and FortiSwitchManager may allow a remote attacker to execute arbitrary code or command via crafted packets reaching the fgfmd daemon, under certain conditions which are outside the control of the attacker."

https://fortiguard.fortinet.com/psirt/FG-IR-23-471 (Medium)
"An improper neutralization of input during web page Generation ('Cross-site Scripting') vulnerability [CWE-79] in FortiOS and FortiProxy reboot page may allow a remote privileged attacker with super-admin access to execute JavaScript code via crafted HTTP GET requests."

https://fortiguard.fortinet.com/psirt/FG-IR-23-460 (High)
"Multiple stack-based buffer overflow vulnerabilities [CWE-121] in the command line interpreter of FortiOS may allow an authenticated attacker to execute unauthorized code or commands via specially crafted command line arguments."

https://fortiguard.fortinet.com/psirt/FG-IR-23-356 (Medium)
"Multiple stack-based buffer overflow vulnerabilities [CWE-121] in FortiOS may allow an authenticated attacker to achieve arbitrary code execution via specially crafted CLI commands."

https://fortiguard.fortinet.com/psirt/FG-IR-23-423 (Low)
"A use of password hash with insufficient computational effort vulnerability [CWE-916] affecting FortiOS and FortiProxy may allow a privileged attacker with super-admin profile and CLI access to decrypting the backup file."

🙈

Gruss Alex

Content-Key: 4790070102

Url: https://administrator.de/contentid/4790070102

Printed on: July 14, 2024 at 17:07 o'clock

Member: Celiko
Celiko Jun 14, 2024 at 18:40:36 (UTC)
Goto Top
ist doch schön, dass die Lücken geschlossen werden.
Dann kann man sich nach den Updates ja nur noch sicher fühlen 🫣
Member: MysticFoxDE
MysticFoxDE Jun 15, 2024 at 05:48:04 (UTC)
Goto Top
Moin @Celiko,

Dann kann man sich nach den Updates ja nur noch sicher fühlen 🫣

es sind bereits dieses Jahr, wovon noch nicht mal die Hälfte vergangen ist, alleine beim FortiOS ...

https://www.fortiguard.com/psirt?page=1&date=&severity=3,4&p ...

... bereits schon 3 Lücken mit der höchsten Einstufung "Critical" beseitigt worden, 4 Lücken mit der Einstufung "High" und 13 mit der Einstufung "Medium".

Im ganzen letzten Jahr (2023) gab es beim FortiOS übrigens "nur" 3 sehr kritische Lücken, 12 mit der Einstufung "High" und 27 mit der Einstufung "Medium".

Im Jahr 2022 waren es 2 sehr kritische Lücken, 6 mit der Einstufung "High" und 13 mit der Einstufung "Medium".

Im Jahr 2021 waren es !! 0 !! sehr kritische Lücken, 5 mit der Einstufung "High" und 10 mit der Einstufung "Medium".

Und im Jahr 2020 waren es !! 0 !! sehr kritische Lücken, nur 1 mit der Einstufung "High" und 14 mit der Einstufung "Medium".

Und was durch die ganzen Lücken bereits schon jetzt an Schäden angerichtet wurde ...

https://www.bleepingcomputer.com/news/security/chinese-hackers-breached- ...

... kann wahrscheinlich nur noch der liebe Gott abschätzen und das bestimmt auch nur ansatzweise. 😔

Ich finde diese Entwicklung mittlerweile mehr als beunruhigend und das nicht nur auf Fortinet gesehen, denn die meisten anderen IT-Security-Hersteller (Cisco, PaloAlto, (Microsoft) & Co), haben leider mit sehr ähnlichen, wenn nicht gar noch viel grösseren Problemen zu kämpfen. 😭

Gruss Alex
Member: SeaStorm
SeaStorm Jun 15, 2024 at 12:57:47 (UTC)
Goto Top
naja zuindest für FortiOS sind die Lücken aber alle schon lange gestopft. Es kam ja kein neues OS raus, sondern die Lücken sind seit mehreren Monaten bereits gefixed. Nur der PSIRT dazu wurde jetzt veröffentlicht. Übrigens äusserst verantwortungsvoll wie damit umgegangen wird. Erst stopfen, dann nach einer Zeit die Lücke veröffentlichen. So haben die Admins alle genug Zeit gehabt das einzuspielen.
Und besonders bei Forti fällt auf das viele Lücken durch Forti selbst gefunden UND veröffentlicht wurden. Das wird nicht einfach gefixed und unter den Teppich gekehrt, wie bei vielen anderen.
Member: MysticFoxDE
MysticFoxDE Jun 16, 2024 at 06:00:08 (UTC)
Goto Top
Moin @SeaStorm,

Es kam ja kein neues OS raus, sondern die Lücken sind seit mehreren Monaten bereits gefixed. Nur der PSIRT dazu wurde jetzt veröffentlicht.

bist du dir ganz sicher, dass es FortiOS 7.4.4 schon seit Monaten gibt?

Gruss Alex
Member: Csui8n1
Csui8n1 Jun 16, 2024 at 10:44:57 (UTC)
Goto Top
Zitat von @MysticFoxDE:

Moin @SeaStorm,

Es kam ja kein neues OS raus, sondern die Lücken sind seit mehreren Monaten bereits gefixed. Nur der PSIRT dazu wurde jetzt veröffentlicht.

bist du dir ganz sicher, dass es FortiOS 7.4.4 schon seit Monaten gibt?

Gruss Alex

Moin @MysticFoxDE,

FortiOS 7.4.4 ist seit ca. einem Monat veröffentlicht, aber alle alle relevanten Sicherheitslücken, insbesondere die CVE-2024-23110 wurden bereits mit der 7.4.3, 7.2.7 und der 7.0.14 Anfang Februar geschlossen. Die 7.2.8 und 7.0.15 sind dann Mitte März bzw. Anfang April erschienen.

Neu sind, wie @SeaStorm schreibt, nur die PSIRT Meldungen.
Die Presse scheint aber auch jedes mal wieder verwirrt face-wink

Wenn Fortinet außerhalb des Zeitplans für alle Firmware Versionen gleichzeitig neue Updates bereitstellt, sollte man, wie im Februar, besonders schnell aktualisieren (oder wenn man SSLVPN einsetzt face-wink).
Member: MysticFoxDE
MysticFoxDE Jun 17, 2024 at 05:07:50 (UTC)
Goto Top
Moin @Csui8n1,

FortiOS 7.4.4 ist seit ca. einem Monat veröffentlicht, aber alle alle relevanten Sicherheitslücken, insbesondere die CVE-2024-23110 wurden bereits mit der 7.4.3, 7.2.7 und der 7.0.14 Anfang Februar geschlossen. Die 7.2.8 und 7.0.15 sind dann Mitte März bzw. Anfang April erschienen.

danke für diese wichtigen Ergänzungen!

Die Presse scheint aber auch jedes mal wieder verwirrt face-wink

Ja, das merke ich gerade sehr gewaltig. 😡

Ich bin es ja schon gewohnt, dass ich bei den ganzen 0815 News-Seiten die Inhalte nochmals genauer prüfen muss, bevor ich diese auch weiterverbreite. Dass ich das jetzt auch bei den Meldungen der Heise machen muss, hätte ich jedoch bis jetzt nicht wirklich gedacht. 😔

Und da wir primär auf Sophos ausgerichtet sind, ist mir dieser Murks auch nicht gleich aufgefallen, daher nochmals sorry für die unnötige Verwirrung.

sollte man, wie im Februar, besonders schnell aktualisieren (oder wenn man SSLVPN einsetzt face-wink).

Genau deshalb verbreite ich ja auch solche Meldungen, damit so viele Admins wie möglich diese Informationen auch sehen und darauf schnell reagieren können. Denn auch ich bekomme bei weitem nicht alles mit was mir die Hersteller ständig per "Newsletter" & Co., sprich per Mail zusenden. Und so bekomme ich manche kritische Probleme erst dann mit, wenn z.B. hier jemand einen Beitrag darüber postet. 🙃

Gruss Alex