Apr 18, 2023

Fortigate 2019

Onlangs is een kwetsbaarheid ontdekt in Fortinet's besturingssysteem FortiOS, dat veel wordt gebruikt. De fout werd echter niet beschouwd als een "Remote Code Execution" of "Authentication Bypass" en werd snel afgezwakt tot "CVE-2018-13379". FortiOS 5.6 kreeg op 25 april (v5.6.8) een update, terwijl FortiOS 6.0 pas op 12 juni (v6.0.5) een update kreeg.

Fortigate 2019

Interview multiple candidates

Lorem ipsum dolor sit amet, consectetur adipiscing elit proin mi pellentesque  lorem turpis feugiat non sed sed sed aliquam lectus sodales gravida turpis maassa odio faucibus accumsan turpis nulla tellus purus ut   cursus lorem  in pellentesque risus turpis eget quam eu nunc sed diam.

Search for the right experience

Lorem ipsum dolor sit amet, consectetur adipiscing elit proin mi pellentesque  lorem turpis feugiat non sed sed sed aliquam lectus sodales gravida turpis maassa odio.

  1. Lorem ipsum dolor sit amet, consectetur adipiscing elit.
  2. Porttitor nibh est vulputate vitae sem vitae.
  3. Netus vestibulum dignissim scelerisque vitae.
  4. Amet tellus nisl risus lorem vulputate velit eget.

Ask for past work examples & results

Lorem ipsum dolor sit amet, consectetur adipiscing elit consectetur in proin mattis enim posuere maecenas non magna mauris, feugiat montes, porttitor eget nulla id id.

  • Lorem ipsum dolor sit amet, consectetur adipiscing elit.
  • Netus vestibulum dignissim scelerisque vitae.
  • Porttitor nibh est vulputate vitae sem vitae.
  • Amet tellus nisl risus lorem vulputate velit eget.
Vet candidates & ask for past references before hiring

Lorem ipsum dolor sit amet, consectetur adipiscing elit ut suspendisse convallis enim tincidunt nunc condimentum facilisi accumsan tempor donec dolor malesuada vestibulum in sed sed morbi accumsan tristique turpis vivamus non velit euismod.

“Lorem ipsum dolor sit amet, consectetur adipiscing elit nunc gravida purus urna, ipsum eu morbi in enim”
Once you hire them, give them access for all tools & resources for success

Lorem ipsum dolor sit amet, consectetur adipiscing elit ut suspendisse convallis enim tincidunt nunc condimentum facilisi accumsan tempor donec dolor malesuada vestibulum in sed sed morbi accumsan tristique turpis vivamus non velit euismod.

Een kwetsbaarheid met grote gevolgen voor veel bedrijven

Fortinet wordt enorm veel gebruikt als Firewall en VPN server in België.

Begin dit jaar zijn details naar buiten gekomen over een kwetsbaarheid binnen het veel gebruikte OS van Fortinet genaamd FortiOS. De fout is echter geen “Remote Code Execution” of “Authentication Bypass” en werd dus vrij snel geminimaliseerd als “CVE-2018-13379”, gepubliceerd op 6 april 2019 met een update voor FortiOS 5.6 op 25 april (v5.6.8) en voor FortiOS 6.0 pas op 12 juni (v6.0.5).

Officiële details zijn hier te vinden: https://fortiguard.com/psirt/FG-IR-18-384

Details

De categorie is “Information Disclosure” met CVSS scores van 5 tot 7.5, wat heel veel en tegelijk heel weinig zegt:
Onder “Information Disclosure” kan namelijk evengoed de versie van een webserver zitten als de geheimen van eender welk bedrijf.
Concreet is CVE-2018-13379 een zogenaamde “Path Traversal” om bestanden in te laden op de SSL web interface. Het is dus enkel van toepassing indien de SSL VPN web interface open staat (poort 10443), wat helaas standaard het geval is.

Exploitation

In detail zit de fout in het ophalen van het bestand dat instaat voor de vertalingen van die interface: de browser van de bezoeker maakt daarvoor een aanvraag naar een pagina genaamd “fgt_lang” met als parameter “lang=en”. Wat op de achtergrond wordt vertaald naar “/migadmin/lang/en.json”, maar door de “en” in de browser aan te passen kan elk bestand worden ingeladen:

/remote/fgt_lang?lang=/../../../..//////////dev/cmdb/sslvpn_websession

Indien men bovenstaande tekst in een willekeurige browser plaatst na de obligate https://<ip>:<port> dan wordt dus het bestand “/dev/cmdb/sslvpn_websession” getoond in de browser.

Het rood zijn private wachtwoorden van bert en veronic, beide root gebruikers. Groen zijn IP adressen en andere private data.

Impact

Het bovenstaande bestand in bij “Exploitation” is niet willekeurig gekozen, dit bestand bevat namelijk alle inlogpogingen van de voorbije weken en/of maanden. En het bevat daarbij:
Bron IP adres, gebruikersnaam, wachtwoord, naam van de group, rechten, …

Dit maakt de impact dus TOTAAL: het is vreemd dat in 2019 een security fabrikant gebruikersnamen en wachtwoorden in clear text (dus zonder enige hashing, encryptie of beveiliging) opslaat. Dit is echter exact wat er gebeurd:

  • Wat nu dus kan gebeuren bij alle fortinet installaties die niet zijn geüpdatet sinds april
  • Uitlezen van alle gebruikers en hun wachtwoorden die toegang hadden tot de VPN
  • Vervolgens toegang verschaffen tot de netwerk omgeving m.b.v. de gratis FortiClient
  • Diezelfde gebruikersnamen en wachtwoorden allicht opnieuw gebruiken om toegang te krijgen tot tal van interne diensten en systemen (Active Directory, RDP, web applicaties …)

Oplossing

Naast het updaten van het Fortinet toestel (zie link bovenaan) is het dus aanbevolen om minstens de wachtwoorden te wijzigen van elke VPN gebruiker én bij vermoeden (of kans) van misbruik ook alle andere gebruikers.
Two-Factor authenticatie voorkomt overigens elk misbruik van deze exploit.

Aarzel niet om ons te contacteren