DIVD-2020-00012 - 49 000 vulnerable Fortinet VPN devices
| Our reference | DIVD-2020-00012 |
| Case lead | Frank Breedijk |
| Author | Lennaert Oudshoorn |
| Researcher(s) |
|
| CVE(s) | |
| Product | Fortinet FortiOS SSL VPN |
| Versions | Multiple versions, see [FortiGuard PSIRT Advisory |
| Recommendation | Upgrade to the latest version and reset VPN users passwords. |
| Patch status | Available |
| Status | Closed |
| Last modified | 12 Aug 2022 11:21 CEST |
Samenvatting
Op 19 November is door een threat intelligence analyst een lijst met 49,577 kwetsbare Fortinet VPN devices aangetroffen. Het gaat hier om Fortinet devices die kwetsbaar zijn voor CVE-2018-13379, via deze kwetsbaarheid kan een aanvaller via een aangepast HTTP request systeem bestanden opvragen waartoe hij normaal gesproken geen toegang zou moeten hebben. Door het bestand sslvpn_websession op te vragen, is het mogelijk om de inlogggegeven van gebruikers te stelen.
Wat kunt u doen?
Als u gebruik maak van Fortinet VPN of FIrewall devices, controleer dan de versienummer om te zien om deze kwetsbaar zijn. Zie hiervoor het FortiGuard PSIRT Advisory. Indien uw Fortinet device kwetsbaar is, herstel dan de kwetsbaarheid en ga ervan uit dat de gebruikersnamen en wachtwoorden van uw gebruiker gelekt zijn. De kwetsbaarheid kan verholpen worden door te upgraden naar een niet kwetsbare versie. Voor de eindegebruikers raden we u aan minimaal hun wachtwoorden te resetten.
Wat doen wij?
Onderzoekers van het DIVD verwerken de gelekte lijst en verifiëren of de op de lijst genoemde systemen inderdaad kwetsbaar zijn. Indien systemen kwetsbaar zijn zullen wij de beheerders van deze systemen op de hoogte proberen te stellen.
Timeline
| Date | Description |
|---|---|
| 24-05-2019 | Fortinet PSIRT publiceert advisory voor CVE-2019-13379 |
| 20-11-2020 | Onderzoeker treft lijst met kwetsbare systemen aan |
| 22-11-2020 | Bleeping Computer publiceert artikel |
| 23-11-2020 | Fortinet geeft een statement aan Bleeping Computer |
| 25-11-2020 | DIVD begonnen met verwerken van de lijst |
| 3-12-2020 | Eerste notificaties verstuurd |
Meer informatie
English
Summary
On November 19th a threat intelligence analyst found a list with 49,577 vulnerable Fortinet VPN devices online. These devices are vulnerable to CVE-2018-13379, through this vulnerability an attacker can gain access to system files via crafted HTTP requests. Specificaly the system file sslvpn_websession can be acccess and used to retrieve user login credentials.
What you can do
If your system is vulnerable we advice to upgrade, and to reset the passwords for all VPN users. See FortiGuard PSIRT Advisory for more information.
What we are doing
DIVD researchers are processing the list of vulnerable systems to verify if they are indeed vulnerable. If they are we will notify the administrators of these systems.
Timeline
| Date | Description |
|---|---|
| 24 May 2019 | Fortinet PSIRT publishes advisory for CVE-2019-13379 |
| 20 Nov 2020 | Researcher comes across list of vulnerable systems |
| 22 Nov 2020 | Bleeping Computer publishes article |
| 23 Nov 2020 | Fortinet issues a statement to Bleeping Computer |
| 25 Nov 2020 | DIVD started processing the list |
| 03 Dec 2020 | First notifications sent |