Skip to main content

FortiGate SSL VPN kwetsbaarheid CVE-2018-13379

Door 23 november 2020 maart 9th, 2021 CERT, SOC, Kwetsbaarheid

Recent is door een beveiligingsonderzoeker een lijst ontdekt van kwetsbare FortiGate SSL VPN oplossingen. Deze lijst zou worden gebruikt door hackers om toegang te krijgen tot netwerken van bedrijven. Het gaat hierbij om een oudere kwetsbaarheid, waar al diverse keren voor is gewaarschuwd en die meerdere keren onder de aandacht is gebracht.

We zien echter dat deze kwetsbaarheid nog steeds actief door kwaadwillenden wordt gebruikt. Bovendien is er recent een lijst online gepubliceerd met bedrijven die mogelijk de dupe zijn geworden, waardoor deze dreiging weer urgent wordt. Deze lijst is inmiddels in bezit van Tesorion en deze bedrijven zijn door ons actief geïnformeerd.

Introductie

Op 24 mei 2019 heeft Fortinet een software patch beschikbaar gesteld die een software kwetsbaarheid dicht in haar SSL VPN oplossing. Via deze kwetsbaarheid is het mogelijk om de logingegevens van actieve gebruikers te downloaden. Via een software kwetsbaarheid in de FortiGate SSL VPN oplossing is het mogelijk om de logingegevens van actieve gebruikers te downloaden van het apparaat. Deze informatie kan vervolgens worden gebruikt om in te loggen op de oplossing (en zo toegang te krijgen tot het bedrijfsnetwerk), of worden gebruikt om toegang te krijgen tot andere informatiesystemen.

Detailinfo kwetsbaarheid

De software kwetsbaarheid is geregistreerd onder CVE-2018-13379. De volgende softwareversies zijn kwetsbaar wanneer de SSL VPN functionaliteit is ingeschakeld:

  • FortiOS 5.4 – 5.4.6 to 5.4.12
  • FortiOS 5.6 – 5.6.3 to 5.6.7
  • FortiOS 6.0 – 6.0.0 to 6.0.4

Via de kwetsbaarheid kunnen de logingegevens van actieve gebruikers worden gedownload. Het gaat hier om de volgende gegevens:

  • Gebruikersnaam
  • Wachtwoord
  • Publiek IP-adres van de gebruiker

Het volledige advies van Fortinet kan hier worden gevonden: https://www.fortiguard.com/psirt/FG-IR-18-384

Mogelijk risico

Met behulp van de informatie die kan worden verkregen via de kwetsbaarheid, kan de aanvaller inloggen op de SSL VPN oplossing. Hiermee krijgt de aanvaller toegang tot het bedrijfsnetwerk. Aanvullend is het mogelijk dat logingegevens toegang bieden tot andere informatiesystemen, zoals e-mail.

T-CERT heeft incidenten waargenomen, waarbij de aanvaller via deze kwetsbaarheid toegang kreeg tot de omgeving, waarna bijvoorbeeld ransomware werd geïnstalleerd.

Wat kan je doen om mogelijke schade te voorkomen of te beperken?

Zorg dat je de software van je FortiGate ten minste update naar de volgende versies:

  • FortiOS 5.4.13
  • FortiOS 5.6.8
  • FortiOS 6.0.5
  • FortiOS 6.2.0

Voer aanvullend de volgende acties uit:

  • Reset de wachtwoorden van gebruikers van de SSL VPN oplossing
  • Schakel multi-factor authenticatie in voor de SSL VPN oplossing

Schrijf je in voor onze technische updates

Wil je deze kritieke kwetsbaarheden voortaan ook per e-mail ontvangen? Vul dan hieronder je e-mailadres in.

Tesorion gebruikt jouw gegevens voor het versturen van de gevraagde informatie en mogelijk telefonisch contact. Je kunt je op elk gewenst moment afmelden. Lees voor meer informatie ons privacybeleid.

Gezien de eenvoud en leeftijd van de kwetsbaarheid, is het zeer aannemelijk dat kwaadwillenden reeds toegang hebben (gehad) tot je bedrijfsnetwerk. T-CERT adviseert daarom om logbestanden van de Fortigate en aanvullende systemen veilig te stellen en te analyseren op kwaadaardige activiteiten. Indien gewenst, kan T-CERT je hierin ondersteunen.

Close Menu