Security blog
Voor kwetsbaarheden met impact op onze infrastructuur als geheel houden we in deze blog de laatste ontwikkelingen bij.
En bevat aanvullend informatie over mogelijke risico's en acties die Poort80 onderneemt om schade te voorkomen of beperken.
(voor meer info over voorgaande jaren, zie: 2022)
Dinsdag 13 juni 2023 - Kwetsbaarheid in Fortinet FortiOS
Laatste update: 20 juni 2023
Op dit moment is in het nieuws aandacht voor een kritieke kwetsbaarheid "Heap buffer overflow in sslvpn pre-authentication" in diverse versies van FortiOS, de firewall beheersoftware van Fortinet.
Deze kwetsbaarheid maakt het mogelijk voor een ongeauthenticeerde aanvaller om de apparaten op afstand over te nemen wanneer de vpn-functie is ingeschakeld.
Fortinet heeft patches gepubliceerd om de kwetsbaarheid te herstellen.
Oorspronkelijk was het ons plan om deze updates zoals gebruikelijk aan het eind van het weekend uit te voeren.
Echter, de afgelopen dagen is de inschatting van het security risico zodanig toegenomen, dat we besloten hebben om deze eerder uit te voeren.
In de avond van vrijdag 16 juni 2023, vanaf 23:01 hebben onze systeembeheerders het FortiOS in onze beide datacenters succesvol en, afgezien van een reboot van de firewall, zonder downtime bijgewerkt.
Op dit moment is verder geen actie nodig.
Voor meer informatie:
- www.fortinet.com/blog/psirt-blogs/analysis-of-cve-2023-27997-and-clarifications-on-volt-typhoon-campaign
- www.security.nl/posting/799192
- www.security.nl/posting/799360
- www.tesorion.nl/nl/posts/fortinet-fortigate-kwetsbaarheid
Dinsdag 14 maart 2023 - Kwetsbaarheid in Fortinet FortiOS
Laatste update: 27 maart 2023
Op dit moment is er aandacht voor de technische kwetsbaarheid 'RCE' in diverse versies van FortiOS, de firewall beheersoftware van Fortinet.
Deze kwetsbaarheid is een heap buffer underflow in de FortiProxy administratieve interface waardoor een niet-geautoriseerde aanvaller willekeurige code kan uitvoeren en/of een DoS kan uitvoeren op de GUI.
Er is nog geen indicatie dat de kwetsbaarheden worden uitgebuit, maar Poort80 maakt wel gebruik van een FortiOS versie waarin deze kwetsbaarheid gevonden is.
Fortinet heeft patches gepubliceerd om de kwetsbaarheid te herstellen. Onze systeembeheerders hebben in nacht van 26 op 27 maart 2023, zonder downtime, het FortiOS in onze beide datacenters bijgewerkt.
Op dit moment is verder geen actie nodig.
Voor meer informatie:
- www.fortiguard.com/psirt/FG-IR-23-001
- www.ncsc.nl/actueel/advisory?id=NCSC-2023-0117
- www.tesorion.nl/nl/posts/fortinet-rce-kwetsbaarheid
Maandag 6 februari 2023 - Kwetsbaarheid in VMWare ESXi en vCentre (vSphere)
Laatste update: 6 februari 2023
Op dit moment is in het nieuws aandacht voor gijzelsoftware dat gebruik maakt van een oude technische kwetsbaarheid in VMWare ESXi en vCentre, virtualisatie software.
Deze kwetsbaarheid stelt niet-geauthentiseerde aanvallers in staat om willekeurige code uit te voeren via specifieke verzoeken. En daar wordt nu actief gebruik van gemaakt.
Poort80 maakt gebruik van VMWare vSphere, maar niet van de verouderde kwetsbare versie.
De patches om deze kwetsbaarheid te herstellen zijn door VMWare begin 2021 beschikbaar gesteld, en destijds door Poort80 geïnstalleerd.
Op dit moment is verder dan ook geen actie nodig.
Voor meer informatie:
- https://www.ncsc.nl/actueel/advisory?id=NCSC%2D2021%2D0173
- https://www.vmware.com/security/advisories/VMSA-2021-0002.html