Overlay | VanRoey.be

Alerts

Onze support licht je hier regelmatig in van belangrijke gebeurtenissen

Je kan je op deze alerts abonneren via deze RSS Feed. Dit kan je doen in Outlook (lees hier hoe) of via je RSS reader naar keuze.

Fortinet is op de hoogte zijn van minstens één geval waarin deze kwetsbaarheid met succes is misbruikt, hoewel er zeker ook andere onbekende gevallen kunnen bestaan.

Men maakt gebruik van een kwetsbaarheid om schadelijke bestanden te implementeren op het bestandssysteem van getroffen apparaten.

Bovendien, zoals te zien is in een recente campagne die van invloed is op Fortinet-appliances (CVE-2022-40684), kunnen aanvallers code op afstand uitvoeren in Fortinet-appliances om een van de volgende doelstellingen te bereiken:

  • Het configuratiebestand van het toestel openen en downloaden
  • Dit omvat en is niet exclusief voor cleartext-regels, beleid, filtering, gebruikersnamen, routeringsconfiguraties en gecodeerde wachtwoorden (gecodeerd via de privé-coderingssleutel).
  • Geprivilegieerde beheerdersaccounts maken
  • Scripts uploaden en uitvoeren

Potentieel voor wijdverspreide exploitatie

Volgens CISA’s Known Exploited Vulnerabilities Catalog hebben bedreigingsactoren in het verleden gebruik gemaakt van vergelijkbare Fortinet-kwetsbaarheden om initiële toegang te verkrijgen en lateraal binnen de omgeving van een organisatie te bewegen.

We gaan er daarom ook vanuit dat hackers deze kwetsbaarheid op korte termijn actief zullen blijven misbruiken om toegang te verkrijgen tot gevoelige informatie, zoals het configuratiebestand van het apparaat.

Dit dankzij het gemak van exploitatie, het potentieel voor payload en uitvoering en de prevalentie van getroffen Fortinet-apparaten binnen bedrijfsomgevingen.

 

 

Actie te ondernemen

Dit is een grote kwetsbaarheid die onmiddellijk aangepakt zou moeten worden.

Gezien de impact van het updateproces of eventuele complexiteit van andere maatregelen, zijn we momenteel bezig met het contacteren van klanten om af te spreken of wie/wanneer de upgrade(s) uitvoert.

Opgelet, indien mogelijk voer je de upgrades eerst uit in een testomgeving

Update FortiOS

Product  Impacted Versions  Fixed Versions 
FortiOS  v7.2.0 to v7.2.2
v7.0.0 to v7.0.8
v6.4.0 to v6.4.10
v6.2.0 to v6.2.11 
v7.2.3 or above
v7.0.9 or above
v6.4.11 or above
v6.2.12 or above 
FortiOS-6K7K   v7.0.0 to v7.0.7
v6.4.0 to v6.4.9
v6.2.0 to v6.2.11
v6.0.0 to v6.0.14 
v7.0.8 or above
v6.4.10 or above
v6.2.12 or above
v6.0.15 or above 

Workaround

Schakel de SSL-VPN uit

Hulp nodig?

Contacteer ons zo snel mogelijk om dit lek voor jou te verhelpen. Dit kan via mail op support@vanroey.be of tel: 014 470 600. Je kan ook een ticket aanmaken.

Er is vooralsnog geen officiële patch van Microsoft beschikbaar die de kwetsbaarheid repareert, maar we weten wel dat ze actief wordt misbruikt. Meer details over deze kwetsbaarheid vind je hier: CVE-2022-30190.

Er is echter wel een tijdelijke workaround beschikbaar, die je hier kan raadplegen.

  • Vooreerst dien je het Diagnostics tool URL Protocol uit te schakelen via het register.
  • Microsoft Defender Antivirus (MDAV) gebruikers moeten “cloud-delivered protection” & “automatic sample submission” inschakelen.
  • Microsoft Defender for Endpoint (MDE) gebruikers kunnen met volgende instelling ook extra bescherming genieten: “Block all Office applications from creating child processes”

Uiteraard houden we deze situatie nauwlettend in de gaten en schakelen we zo snel mogelijk wanneer een patch beschikbaar zou zijn.

Indien je onze expertise wil inschakelen om de workaround toe te passen, aarzel niet om je Account Manager te contacteren.

Vanaf 15 oktober 2022 wordt vSphere versie 6.x niet langer ondersteund door VMware. Om van volledige ondersteuning (incl. updates) te kunnen genieten, raden wij aan om jouw hardware zo snel mogelijk te upgraden. Daar niet alle servers compatibel zijn met vSphere 7.0 of hoger, is tijdig jouw migratietraject starten de boodschap! Zeker met de huidige levertijden.

Wat jouw situatie ook is, aarzel niet onze specialisten te contacteren bij vragen of onzekerheden. Wij kijken graag mee of de ideale setup on-prem, full cloud of hybride is.

Klanten die door VanRoey.be via een Managed Services Contract worden beheerd, zijn reeds gecoverd.

Via deze weg willen we je op de hoogte brengen van een noodzakelijke upgrade in N-Central, de tool verantwoordelijk voor de monitoring van jouw omgeving.

Als gevolg hiervan zal onze Managed Services Portal vanaf vrijdagavond 18u tot zondagavond niet bereikbaar zijn. Als gevolg van deze downtime zal er tijdens het komende weekend geen automatische monitoring mogelijk zijn.

Verder heeft deze upgrade geen impact op jullie omgeving. Mocht je toch vragen hebben, aarzel niet om ons te contacteren:

Afgelopen weekend werd er een ernstige kwetsbaarheid aangetroffen in de veelgebruikte Java-logtool Log4j. Dit lek maakt(e) het voor ongeauthenticeerden mogelijk om op afstand willekeurige code te injecteren en uit te voeren.

  • Fortinet heeft reeds signature updates uitgebracht (zie bron voor meer info);
  • Je VCenters zijn gecheckt en staan niet open voor de buitenwereld;
  • Voor bepaalde andere software (bv. Ruckus Cloud) wachten we op een patch van de vendor. In afwachting hiervan werden bijkomende security maatregelen genomen.

Wanneer we merken dat jouw omgeving bijkomende interventies of updates nodig heeft, zullen we jou hiervan persoonlijk op de hoogte brengen. Twijfel je of heb je vragen, aarzel niet onze Support-afdeling te contacteren.

Actie te ondernemen

Contoleer met je softwareleveranciers of er nog kwetsbare factoren zijn in je omgeving

Onze Oplossingen

ESG