Fortinet fällt ja immer wieder durch kritische Schwachstellen im FortiManager oder anderen Produkten auf. Im Oktober 2024 musste Fortinet eine Schwachstelle im FortiManager schließen. Ein Blog-Leser hat mich Ende Oktober 2024 kontaktiert, um in einer Nachbetrachtung mal einige Eindrücke aus der Praxis auf den Tisch zu bringen.
Anzeige
0-Day Schwachstelle CVE-2024-47575 in FortiManager
Zum 24. Oktober 2024 das Thread Intelligence-Team von Mandiant (Google) im Beitrag Investigating FortiManager Zero-Day Exploitation (CVE-2024-47575) über eine Untersuchung einer ausgenutzten Schwachstelle berichtet. Es heißt, dass Mandiant im Oktober 2024 in Zusammenarbeit mit Fortinet die massenhafte Ausnutzung von FortiManager-Appliances auf über 50 potenziell gefährdeten FortiManager-Geräten in verschiedenen Branchen untersuchte.
Es heißt, dass die Schwachstelle, CVE-2024-47575 / FG-IR-24-423, es einem Bedrohungsakteur ermöglicht, ein nicht autorisiertes, von einem Bedrohungsakteur kontrolliertes FortiManager-Gerät zu verwenden, um beliebigen Code oder Befehle gegen anfällige FortiManager-Geräte auszuführen.
Mandiant beobachtete bereits am 27. Juni 2024 einen neuen Bedrohungscluster, den die Sicherheitsforscher als UNC5820 bezeichneten, der die FortiManager-Schwachstelle ausnutzt. Im verlinkten Beitrag legt Mandiant die Details offen.
heise hatte das Ganze im Beitrag Fortinet bestätigt kritische angegriffene Sicherheitslücke in Fortimanager aufgegriffen und gibt an, dass das BSI diese Schwachstelle als "maximal kritisch" eingestuft habe.
Anzeige
Die IT im Unternehmen zwischen den Fronten
Der Blog-Leser schreibt, dass er in einem mittelständischen Unternehmen für den Bereich der IT-Sicherheit zuständig sei. In den letzten beiden Wochen des Oktober 2024 hatten die Leute in diesem Bereich einiges an Spaß mit dem FortiManager von Fortinet und einer Schwachstelle, von der viele Kunden betroffen waren.
Der Leser gibt an, dass das Unternehmen von seinem Dienstleister im WAN-Bereich über diese Schwachstelle informiert wurde – wenn der Dienstleister patzt, ist es "Essig mit der Sicherheit", es sei denn, die Leute bekommen Schwachstellen über Medien mit.
Als Folge durfte die IT-Abteilung des Lesers alles, von lokalen Passwörtern in den Firewalls bis hin zu Zertifikaten und Preshared Keys für IPsec-Tunnels tauschen. Da der FortiManager auch für MFA im VPN-Bereich eingesetzt werden kann, haben die Leute von der IT-Sicherheitsabteilung das AD-Passwort der betroffenen Benutzer vorsichtshalber getauscht.
Im konkreten Fall des Lesers waren es nur ca. 100 Benutzer von externen Zugängen, da das Unternehmen VPN für interne Mitarbeiter anderweitig absichert. Der Leser schreibt, dass das Schlimme an der ganzen Sache eher die Tatsache sei, wie Fortinet gewisse Funktionen, die im oben verlinkten Heise Artikel aufgeführt sind, implementiert hat. Und diese werden noch als "Best-practice" für die Konfiguration empfohlen.
Der Leser zieht den Schluss, dass ein solches Desaster passieren musste und gibt an, dass er von mehreren 100.000 betroffenen FortiManager-Instanzen gehört habe (diese Zahl ist aber nicht mit Quelle belegt).
Auch die Kommunikationsstrategie von Fortinet bezeichnet der Leser als nicht schön. Laut seiner Aussage wurden nicht alle Kunden von Fortinet über die Schwachstelle informiert. Einige Kunden haben die Probleme eher zufällig mitbekommen. Wie schaut es bei euch im IT-Umfeld aus? Wird der FortiManager eingesetzt und ist dort die Information über die Schwachstelle vom Hersteller angekommen?
Ich hatte ja gerade den Beitrag Smart Cities gegen Cyberattacken resilient machen hier im Blog, wo Sicherheitsanbieter Check Point schöne Vorschläge aus der Theorie unterbreitet, wie das ganze Smart-Zeugs sicher gemacht werden solle. Der obige Abriss zeigt die Niederungen der Praxis, wo Cybersicherheit eher davon abhängt, ob der Zuständige zufälligerweise rechtzeitig durch Dienstleister oder über Medien, falls er Zeit für eine aktive Lektüre hat, informiert wird und genügend Zeit hat, ausreichend zu reagieren, bevor Cyberangreifer zuschlagen. Wie ist eure Einschätzung dazu? Kein Problem, alles im Griff? Oder "die Praxis ist noch schlimmer als oben skizziert"?
Anzeige
Wir haben dieses tolle Produkt auch im Einsatz. Über Heise haben wir mitbekommen und sofort gepatcht. Alles stehen und liegen gelassen und sofort gepatcht.
Ich werde diesbezüglich deim nächsten kauf, Einfluss drauf nehmen, diesen Hersteller nicht mehr zu kaufen. Sondern einen aus Europa.
Bisschen populistisch, oder? Was ändert denn der Standort des Herstellers?
Und welcher Firewall-Hersteller aus Europa darf's denn sein?
– Sophos: britisch und gehören zu 100% einer US-amerikanischen LLC.
– Cisco: USA
– Palo Alto: USA
– Juniper: USA
– Fortigate: USA
– Check Point: Israel
Bleibt nicht mehr viel übrig, oder?
Zur Frage im Text: "Wie schaut es bei euch im IT-Umfeld aus? Wird der FortiManager eingesetzt und ist dort die Information über die Schwachstelle vom Hersteller angekommen?"
Da kann ich nur empfehlen die PSIRT-Liste von Fortinet im Blick zu behalten. Entweder manuell unter: https://www.fortiguard.com/psirt
oder halt direkt den Email-Service abonnieren (in der Forticlound unter My Account/Preferences/PSIRT Contact).
So ähnliche Listen gibt es ja bei ungefähr jedem Hersteller. Das ist dann halt mal sinnvoller Spam :)
Es gibt da durchaus auch noch europäische Anbieter am Markt (Franzosen, Schweden…) die vielleicht aber nicht so umfassend unterwegs sind wie Fortinet.
Weiter unten steht es aber auch schon, andere Anbieter gleiche oder andere Probleme, nicht notwendigerweise besser.
Es gibt sogar deutsche Anbieter, wenn das wichtig ist: Securepoint aus Lüneburg (hab ich in einer Umgebung im Einsatz) und XnetSolutions aus Herrenberg (bei Stuttgart, hab ich bisher nicht ausprobiert) – beide sind Kandidaten als Exit-Strategie für Sophos UTMs.
Wir sind gerade dabei, die nur noch bis Mitte 2026 unterstützte Sophos UTM abzulösen.
Neben technischen Aspekten ist natürlich auch der Umgang des Herstellers mit solchen Sicherheitsproblemen ein wichtiger Entscheidungsgrund. Fortinet hat sich da gerade im Teilnehmerfeld nach hinten gearbeitet…
Andere Hersteller, andere Probleme.
Kann mich noch gut erinnern, als Cisco alle 4 Wochen bei Heise Security zu lesen war, oder andere große Namen.
Mittlerweile schaue ich täglich in die passenden Subreddits. Die sind dort relativ schnell wenn mal wieder ne Sicherheitslücke offen ist.
Der Umgang mit der Lücke war tatsächlich unterirdisch, kann man nicht anders sagen. Deshalb jetzt aber grundsätzlich auf den Hersteller einzutreten finde ich schwierig, in der Regel ist man gut informiert wenn man deren psirt Newsletter abonniert hat. Wer sich darauf verlässt dass heise da abschreibt oder ein Dienstleister zum patchen anregt muss sich andere Fragen stellen.
Abseits davon sind deren Produkte mir noch am liebsten, UX-Unfälle wie Sonicwalls, Zyxel oder Wir-haben-wieder-40-Backdoors "gefunden" Cisco will ich nicht mehr sehen.
Letztlich muss jeder selbst schauen welcher Hersteller da am besten zu einem passt, die kochen alle nur mit Wasser und einer der Wein daraus macht ist mir noch nicht untergekommen.
Also wer den FortiManager aus einem Public Netz erreichbar macht hat sowieso nichts in der IT-Sicherheit verloren. Das ist ein Management-Tool und gehört in ein separates Management-Netz wo nur ausgewählte Jump-Hosts darauf Zugriff haben. Ich verstehe deswegen die Aufregung um diese Schwachstelle nicht, ist ein ordentlicher Bock, ja, aber in einer Umgebung wo gute und verantwortungsvolle Firewall-Admins sitzen, sollte ein Ausnutzen nicht möglich sein.
Das ist ein Managementtool für Firewalls. Die stehen in der Regel im Internet.
Vor allem wenn man viele Wanderbaustellen versorgt, dann müssen die Geräte Kontakt zum Manager haben. Sobald der VPN Tunnel steht geht das zwar auch intern, aber wenn der nicht da ist, muss der Manager erreichbar sein.
Mit OPNsense wäre das nicht passiert :)
Das eigentliche Problem ist, daß viele teure Sicherheitsprodukte von namhaften Herstellern seit einer Weile die Angriffsfläche vergrößern anstatt zu verkleinern. Die haben alle regelmäßig richtig dicke Sicherheitslöcher drin. Man fragt sich, was die Entwickler beruflich so machen. Im Augenblick gibt es kein Produkt, das wirklich empfehlenswert wäre. Man kann beim Einkauf nur das kleinere Übel auswählen. Die aktuelle Situation ist düster.
Fortinet geht wenigstens offen mit gefundenen Sicherheitslücken um!
Auch finde ich den Support um Welten besser, wie bei anderen Herstellern.
Mal abgesehen davon, dass die Bedienung und Funktionsumfang bei einigen anderen Anbietern auch nicht wirklich gut ist.
Aber das muss jeder selbst entscheiden ;)
Für den Überblick der Fortinet Updates, einfach in Outlook den RSS Feed hinzufügen.
https://support.fortinet.com/rss/firmware.xml
Wenn in den Release Notes nichts zu "Resolved Issues" steht, sofort patchen!
Normal ja, in dem Fall war es aber echt eine kleine Hängepartie mit Informationen in mundgerechten Salamiportionen. Bis da was kam hatten es die Spatzen schon eine Weile von den Dächern gepfiffen. Muss man ihnen ankreiden.
Ansonsten, ja passt. Den einzigen Fehler den man nicht machen darf ist auf die aktuellste Branch zu gehen, die ist einfach Testing.
Da kommt es wohl auch etwas darauf an, wen man im Support erwischt.
Ich habe häufig mit den gleichen Mitarbeitern im Support zu tun und kann mich über mangelnde Informationen nicht beschweren.
Das nicht immer gleich alle Details öffentlich breit getreten werden, ist ein wenig verständlich.
Daher immer die PSIRT und den RSS Feed im Auge behalten.
https://www.fortiguard.com/psirt
Zu den Releases gebe ich völlig Recht…man kann nur Mature Releases einsetzen!
Alles andere ist ein Glücksspiel. Auch neue Produkte sind selten ausgereift genug um in einer Produktivumgebung eingesetzt zu werden.
Das weiß aber auch Fortinet selbst und die Techniker / Vertriebler raten häufig davon ab.