Bijna 900 bedrijven en instellingen in Nederland hebben te maken met beveiligingslek in Fortinet SSL VPN

Op 29-09-2019 kwam er in het nieuws dat er nog bijna 900 bedrijven en instellingen in Nederland die gebruik maken van Fortinet SSL VPN, te maken hebben met een beveiligingslek door onderstaande 3 kwetsbaarheden. Deze bedrijven zijn op dit moment nog kwetsbaar omdat zij nog geen update hebben uitgevoerd naar een versie die niet kwetsbaar is voor deze kwetsbaarheden. Voor deze kwetsbaarheden zijn in april en mei Security patches uitgebracht door Fortinet. Aangezien er de mogelijkheid bestaat dat er één of meerdere van deze 900 organisaties dit nieuwsbericht leest, willen wij jullie hier graag via deze weg van op de hoogte brengen.

CVE-2018-13379 path traversal kwetsbaarheid SSL VPN

Een path traversal kwetsbaarheid in het FortiOS SSL VPN web portaal dat ervoor kan zorgen dat een ongeautoriseerde (iemand die geen toegangsrechten heeft tot het systeem) aanvaller FortiOS systeembestanden kan downloaden via een speciaal gemaakte HTTP resource verzoek.

CVE-2018-13383 Heap buffer overflow SSL VPN

Een heap buffer overflow kwetsbaarheid in het FortiOS SSL VPN web portaal, die ervoor kan zorgen dat de SSL VPN web service wordt gestopt voor ingelogde gebruikers of een potentiële remote code execution op het FortiOS. Dit gebeurt wanneer een ingelogde gebruiker een speciaal gemaakte proxy website bezoekt en dit komt door een fout om javascript in de href content goed te verwerken.

CVE-2018-13382 ongeautoriseerde SSL VPN user wachtwoord wijzigingen

Een onjuiste autorisatie kwetsbaarheid in het SSL VPN web portaal kan ervoor zorgen dat een ongeautoriseerde aanvaller het wachtwoord kan veranderen van een SSL VPN web portaal gebruiker via speciaal gemaakte HTTP verzoeken.

Welke versies zijn kwetsbaar?

De volgende versies zijn kwetsbaar voor CVE-2018-13379:

  • FortiOS 6.0 – 6.0.0 t/m 6.0.4;
  • FortiOS 5.6 – 5.6.3 t/m 5.6.7;
  • FortiOS 5.4 – 5.4.6 t/m 5.4.12.

Andere versies, dan de bovengenoemde versies zijn niet kwetsbaar. Bovengenoemde versies zijn alleen kwetsbaar wanneer de SSL VPN service via web of tunnel mode is ingeschakeld.

De volgende versies zijn kwetsbaar voor CVE-2018-13383:

  • FortiOS 6.0.0 t/m 6.0.4
  • FortiOS 5.6.10 en lager;

De volgende versies zijn kwetsbaar voor CVE-2018-13382:

  • FortiOS 6.0 – 6.0.0 t/m 6.0.4;
  • FortiOS 5.6 – 5.6.0 t/m 5.6.8;
  • FortiOS 5.4 – 5.4.1 t/m 5.4.10.

Bovenstaande versies zijn alleen kwetsbaar, wanneer de SSL VPN service in web of tunnel mode beschikbaar is. Het gaat hier alleen om gebruikers met lokale accounts. Wanneer er gebruikers zijn die gebruik maken van LDAP of RADIUS, zijn deze niet kwetsbaar voor deze kwetsbaarheid.

Worden de kwetsbaarheden actief misbruikt?

Er is bekend dat de kwetsbaarheid CVE-2018-13379 sinds 21 augustus actief worden misbruikt. Ook het Nationaal Cyber Security Centrum (NCSC) geeft aan dat er een hoog risico is dat er misbruik wordt gemaakt van de kwetsbaarheid.

Voor de andere 2 kwetsbaarheden is er niet bekend of deze actief worden misbruikt op dit moment, wel achten wij de kans aannemelijk dat aanvallers ook zullen proberen misbruik te maken van deze kwetsbaarheden .

Advies

Wij adviseren iedereen die gebruik maakt van Fortinet SSL VPN te controleren bij hun Fortinet product of er geen gebruik wordt gemaakt van een FortiOS versie, die kwetsbaar is voor één of meerdere van de genoemde kwetsbaarheden.

Indien dit niet het geval is, dan hoeft uw niets te doen en is uw organisatie niet kwetsbaar.

Indien dit wel het geval is, dan adviseren wij te upgraden naar een van de onderstaande versies:

  • FortiOS 6.0.5 of hoger;
  • FortiOS 6.2.0 of hoger;
  • FortiOS 5.6.11.

Wanneer het upgraden naar een van bovenstaande versies is uitgevoerd, dan is uw organisatie niet meer kwetsbaar voor de bovengenoemde kwetsbaarheden. Daarnaast adviseren wij om regelmatig te controleren of er nieuwe updates en/of security patches van Fortinet beschikbaar zijn en deze tijdig te installeren, zodat uw organisatie minder risico loopt om kwetsbaar te zijn wanneer er nieuwe kwetsbaarheden uitkomen.

 

Wil jij ook wekelijks op de hoogte gehouden worden over het laatste nieuws omtrent Security. Meld je dan nu aan via sales@sincerus.nl voor onze SOC Weekly Security Bulletin.

 

Windows Update
Kwetsbaarheden gevonden in Internet Explorer en Windows Defender
Veel kleine switches kwetsbaar voor meerdere unauthenticated remote code execution kwetsbaarheden

Gerelateerde berichten

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Fill out this field
Fill out this field
Geef een geldig e-mailadres op.
Je moet de voorwaarden accepteren voordat je het bericht kunt verzenden.

vier × 2 =

Menu