sure[secure] Home
Blog
fortinet-2.jpg

10/3/2023

Fortinet Schwachstelle - was Sie jetzt beachten sollten

Bereits im Dezember 2022 wurde diese Schwachstelle benannt - doch nun wird verstärkt beobachtet, dass diese Schwachstelle auch erfolgreich ausgenutzt wird. Deshalb wollen wir nochmals mit Nachdruck darauf hinweisen: Diese Schwachstelle sollte sehr zeitnah geschlossen werden. 

 

Informationen zur Schwachstelle und des Angriffs „in a nutshell“

Schwachstelle: Ein „heap-based buffer overflow in SSLVPNd“ wird bei betroffenen FortiOS-Installationen ausgenutzt. Hierbei handelt es sich um einen komplexen Angriff der aller Voraussicht nach von erfahrenen Angreifern/Hackern durchgeführt wird. Dieser Angriff könnte sich vor allem an große Unternehmen und Regierungs- sowie Regierungsnahe Infrastrukturen richten. 

  • Der Angriff wurde mehrmals „in the wild“ entdeckt, die Schwachstelle wird also aktiv ausgenutzt.
  • Der Angriff ist auf das vom Hersteller Fortinet entwickelte und verwendete Betriebssystem FortiOS zugeschnitten, mit dem Ziel die „Intrusion Prevention“ (IPS) auszuhebeln.

Durch die Manipulation des IPS ist es den Angreifern möglich, unbemerkt Verbindungen zu externen Servern aufzubauen um Schadcode nachladen und ausführen zu können, sowie einen Datenabfluss durchzuführen. Um unerkannt zu bleiben, wird auch das Logging der betroffenen Firewalls manipuliert.

Gibt es eine Möglichkeit zu erkennen, ob man bereits von dem Hack betroffen ist?

Auf dem FortiOS kann nach diesen Dateien geprüft werden:

In dem Ordner „/data/lib“:

  • libgif.so
  • libips.bak
  • libiptcp.so
  • libipudp.so
  • libjepg.so

sowie

  • /var/.sslvpnconfigbk
  • /data/etc/wxd.conf
  • /flash

Finden sich einzelne Dateien ist dies ein eindeutiger Hinweis darauf, dass diese Fortigate Firewall bereits von dem Hack betroffen ist, da es sich um Dateien handelt, die in FortiOS noch nie verwendet worden sind.

Wie kann ich diese Dateien finden?

  • Ausführen des Befehls: # fnsysctl ls -l /data/lib
  • Ausführen des Befehls: # fnsysctl ls -la /var
  • Ausführen des Befehls: # fnsysctl ls -l /data/etc
  • Ausführen des Befehls: # fnsysctl ls -l /

Sehe ich etwas im Log?

Im Logging fallen mehrere der folgenden Einträge auf:

Logdesc="Application crashed" and msg="[...] application:sslvpnd,[...], Signal 11 received, Backtrace: [...]“

Eine weitere Möglichkeit zu prüfen, ob man betroffen ist

Ausführen des Befehls: # diagnose debug crashlog read

Es tauchen mehrere dieser Einträge auf:

  • xxxx: [ Date & Time ] <.....> firmware  [ Firmware version ]
  • xxxx: [ Date & Time ] <.....> application sslvpnd
  • xxxx: [ Date & Time ] <.....> *** signal 11 (Segmentation fault) received ***

Welche Versionen des FortiOS sind von der Schwachstelle betroffen?

  • FortiOS bis inklusive Version 7.2.2, 7.0.8, 6.4.10, 6.2.11, 6.0.15 sowie ältere Versionen

  • FortiOS-6K7K bis inklusive Version 7.0.7, 6.4.9, 6.2.11, 6.0.14
  • FortiProxy bis inklusive Version 7.2.1, 7.0.7, 2.0.11, 1.2.13, 1.1.6, 1.0.7

Wie schütze ich mich vor Ausnutzung der Schachstelle?

  • Upgrade FortiOS auf mindestens Version 7.2.3
  • Upgrade FortiOS auf mindestens Version 7.0.9
  • Upgrade FortiOS auf mindestens Version 6.4.11
  • Upgrade FortiOS auf mindestens Version 6.2.12
  • Upgrade FortiOS auf mindestens Version 6.0.16
  • Upgrade FortiOS-6K7K auf mindestens 7.0.8
  • Upgrade FortiOS-6K7K auf mindestens 6.4.10
  • Upgrade FortiOS-6K7K auf mindestens 6.2.12
  • Upgrade FortiOS-6K7K auf mindestens 6.0.15
  • Upgrade FortiProxy auf mindestens 7.2.2
  • Upgrade FortiProxy auf mindestens 7.0.8
  • Upgrade FortiProxy auf mindestens 2.0.12

Kann ich einen Angriff erkennen?

Der Hersteller Fortinet hat folgende Möglichkeiten bereitgestellt:

  1. Alle Binaries werden von der AV-Engine der Fortigates erkannt
  2. Ein „Outbreak Alert Package“ wurde für den FortiAnalyzer erstellt, um Verbindungen zu bekannten Servern zu erkennen und zu melden
  3. Eine IPS-Signatur wurde erstellt um proaktiv vor dem Angriff zu schützen

Gibt es einen Workaround?

Ja, wir empfehlen den SSL-VPN zu deaktivieren. 

Was kann ich tun, wenn ich betroffen bin?

Sie können sich an uns wenden oder auch direkt an den Hersteller. Wichtig ist, dass Sie einen erweiterten Check des Setups durchführen. Dieser sollte möglichst vollständig sein, d.h. unter Berücksichtigung aller Außen- und auch Nebenstellen. 

Hilfreiche Links: 

Einen offizielle Link zu dem Hack gibt es vom Hersteller selbst:

https://www.fortinet.com/blog/psirt-blogs/analysis-of-fg-ir-22-398-fortios-heap-based-buffer-overflow-in-sslvpnd

Eine gute Erklärung und Übersicht gibt es auch hier:

https://thehackernews.com/2023/01/fortios-flaw-exploited-as-zero-day-in.html

Thomas,Bennek

Ihr Ansprechpartner

Thomas Bennek

Senior System Engineer

  • Call
    +49 2156 9594564
  • Mail
    thomas.bennek@suresecure.de

Weitere Artikel

Aktuelles

14/02/2024

Cybersecurity Basement – der Podcast für echten Security-Content

Unser Podcast erhält ein Rebranding! Warum? Die ganze Story kannst du hier nachlesen.

Weiterlesen
Aktuelles

26/10/2023

Eigenes Security Operation Center (SOC) oder SOC as a Service? Was ist die beste Strategie für Ihre Unternehmenssicherheit?

In der vernetzten Welt von heute sind Unternehmen zunehmend auf die Sicherheit ihrer digitalen Infrastruktur angewiesen. Cyber-Angriffe nehmen stetig zu und ein wirksamer Schutz ist unerlässlich.

Weiterlesen
Aktuelles

26/10/2023

Die Vorteile der Cloud beim Aufbau eines SOC

Weiterlesen
Blog

17/10/2023

Erfolgreiche Präsenz auf der it-sa 23: Incident Management als zentrales Thema

Ein Rückblick auf unsere Teilnahme an Europas führender IT-Sicherheitsmesse. suresecure & securance auf gemeinsamer Mission.

Weiterlesen

suresecure gmbh

Dreischeibenhaus 1

40211 Düsseldorf

Kontakt

+49 (0) 2156 974 90 60

KONTAKTFORMULAR

Unsere Auszeichnungen

Folgt uns

© 2022 suresecure