Kritiska intrång, avslöjande fel och tandborste DDoS-attackanspråk • Registret

By | February 9, 2024

Vi har varit tvungna att skriva ordet “Fortinet” så ofta på sistone att vi överväger att göra ett makro bara för att göra våra liv lite enklare efter det som företagsrepresentanter säkert kommer överens om har skickats en vecka sedan fan.

Det hela kulminerade i fredags med avslöjandet av en annan kritisk säkerhetssårbarhet i FortiOS, som påverkar dess SSL VPN.

Registrerat som CVE-24-21762, skrivproblemet utanför gränserna med allvarlighetsgrad 9.6 tillåter oautentiserade fjärrangripare att utföra kodexekvering. Det finns också bevis som tyder på att det redan har utnyttjats som en nolldag.

Säkerhetsforskare har uppmanat användare att patcha sårbara VPN så snart som möjligt, eftersom sårbarheten anses vara lätt att exploatera.

Det finns flera olika berörda versioner av FortiOS och olika patchar tillgängliga. Sårbarheten påverkar även versioner som inte stöds, så nu är det definitivt dags att utföra den uppdateringen om FortiOS 6.0.x fortfarande körs.

Version Påverkade Lösning
FortiOS 7.6 Inte påverkad Gäller inte
FortiOS 7.4 7.4.0 till 7.4.2 Uppdatera till 7.4.3 eller senare
FortiOS 7.2 7.2.0 till 7.2.6 Uppdatera till 7.2.7 eller senare
FortiOS 7.0 7.0.0 till 7.0.13 Uppdatera till 7.0.14 eller senare
FortiOS 6.4 6.4.0 till 6.4.14 Uppdatera till 6.4.15 eller senare
FortiOS 6.2 6.2.0 till 6.2.15 Uppdatera till 6.2.16 eller senare
FortiOS 6.0 6.0 alla versioner Migrera till en fast version

Den enda lösningen som rekommenderas av Fortinet är att inaktivera SSL VPN. Att inaktivera webbläget kommer inte att mildra sårbarheten, sa han.

Tillsammans med det avslöjades också andra sårbarheter, såsom CVE-2024-23113, en kritisk RCE-bugg i FortiOS fgfmd-demonen, men de har inte utnyttjats i det vilda.

Bug Reveal med buggar och en arg tekanna

någonting om dig spela in Läsare kommer att ha följt Fortinet-relaterad bevakning den här veckan och kommer att ha läst historien om en förvirrande dubbelbuggavslöjande den 6 februari. Det här var bara början på en helvetesvecka.

Berättelsen fångade omedelbart vår uppmärksamhet, eftersom det inte är ofta vi hör om två buggar med maximal allvarlighet som avslöjas på samma dag, vilket påverkar en viktig säkerhetsprodukt som FortiSIEM.

Men det var vad som hände i tisdags med uppkomsten av CVE-2024-23108 och CVE-2024-23109 i National Vulnerability Database (NVD). Den förvirrande delen var att Fortinet lämnade in båda sårbarheterna, men båda var kopplade till en separat rådgivning från början av oktober, som inte avslöjade detaljer om dessa till synes enorma nya brister.

Så, hungriga gamar som vi är, vi slog in och tog upp den historien omedelbart och skickade Fortinet en begäran om klarhet i saken och varför det inte hade släppt detaljer om dem.

Många läsare kanske har sett den historien, eftersom den var bland de mest lästa under några dagar, men vissa kanske undrar varför vi inte har uppdaterat den med den senaste informationen som är tillgänglig för våra vanliga höga standarder.

Det tog mer än 73 timmar för Fortinet att ge oss ett officiellt svar. Det kom efter att vi började skriva detta den 9 februari.

För dem som inte är i samklang med hur media fungerar är detta väldigt, väldigt dåligt av leverantören. Ett svar som ges på ett inlägg även efter 24 timmar, särskilt utan förklaring till förseningen, anses oprofessionellt.

Samtidigt har företaget utfärdat två separata uttalanden till våra konkurrenter som förklarar exakt vad som gick fel med detta avslöjande. Vi publicerade inte detta av olika redaktionella skäl och inför uttalandet i dag fick vi bara ursäkter för radiotystnaden. Inte ens kopior av uttalanden som lämnats till andra publikationer.

Om en 24-timmars väntan anses oprofessionell är mer än tre dagar ett slag i ansiktet.

Trots allt har vår bevakning inte varit så läglig som vi och ni som läsare förväntar oss av oss.

Men eftersom vi ger en översikt över leverantörens vecka, vad som verkligen hände här var att de helt misslyckades med att avslöja dessa sårbarheter.

Först backade Fortinet och sa att dessa inte var sårbarheter alls, istället förklarade de att de utfärdades av misstag och var dubbletter av den enda sårbarheten som nämns i ovannämnda oktoberrådgivning: CVE-2023-34992.

Sedan, inom några timmar efter detta, backade företaget igen och sa att ja, det här är faktiskt två nya sårbarheter: två utelämnanden för CVE-2023-34992 från oktober. Detta kom efter forskaren som upptäckterna tillskrivs. postade mejlet från Fortinet som bekräftar att fynden var verkliga sårbarheter. Fortinet bibehöll sina 10/10 svårighetsgrader, medan NVD sänkte båda till 9,8.

Fortinets uttalande idag tog upp “varför” bakom avslöjandet och skyllde det på “exceptionella omständigheter”.

Enligt en talesman för Fortinet:

Den där jäkla tandborsthistorien

Säkerhetsmedvetna läsare eller inte, du har förmodligen sett historien cirkulera denna vecka om Java-baserade skadlig programvara laddade tandborstar som rekryteras till ett 3 miljoner starkt botnät som DDoS attackerar Schweiz.

Till skillnad från många stora nationella tidningar, och till och med några mycket lästa tekniska pressar, ignorerade vi den här eftersom något inte verkade rätt. För Fortinet var det ännu en röra att städa upp.

Den schweiziska tidningen som ursprungligen publicerade historien hävdade att en systemingenjörschef på [you can guess the company] berättade för sin reporter under en intervju att tandborstens DDoS-attack faktiskt ägde rum i den verkliga världen.

Efter mycket starka misstankar om att påståendet var falskt och en mängd memes som satts upp på tekniska sociala medier, svarade Fortinet med att säga att påståendet helt enkelt förlorades i översättningen och att ett massivt tandborstebotnät inte existerade. Det var bara en hypotetisk situation.

Författaren till den schweizisk-tyska tidningen som först rapporterade historien motattackade Fortinets svar och sa: “Vad Fortinets huvudkontor i Kalifornien nu kallar ett “översättningsproblem”, lät helt annorlunda under utredningen: Representanter “Fortinets schweiziska team beskrev tandborstfallet som en riktig DDoS i ett möte där aktuella hot diskuterades.”

Stefan Zuger, Fortinet-ingenjören som gav intervjun, gav specifika detaljer om DDoS-incidenten, inklusive hur länge attacken hade varat och den potentiella skadan på den anonyma webbplatsen den påverkade, sa journalisten.

Den schweiziska journalisten sa också att Fortinet granskade artikeln innan publiceringen och att säljaren inte rättade något i rapporten.

TGIF, eller hur?

Helgen kommer säkerligen att bli ett andrum, särskilt för medlemmar i Fortinets reklamteam som kommer att ha arbetat outtröttligt för att ångra alla förra veckans företagsomfattande misstag.

Visserligen kommer de också att ta itu med svaret på rapporter som också publicerades denna vecka om kinesiska cyberspioner som utnyttjar FortiGate-sårbarheter med hjälp av anpassad skadlig kod.

vi in Reg Vi välkomnar kärleksfullt alla slags fel och stök. Vi hatar långsamma nyhetsdagar, så länge de fortsätter… så länge vi inte ignoreras medan de händer. ®

Leave a Reply

Your email address will not be published. Required fields are marked *