Skip to the content.

DIVD-2020-00012 - 49 000 vulnerable Fortinet VPN devices

Our reference DIVD-2020-00012
Case lead Frank Breedijk
Author Lennaert Oudshoorn
Researcher(s)
CVE(s)
Product Fortinet FortiOS SSL VPN
Versions Multiple versions, see [FortiGuard PSIRT Advisory
Recommendation Upgrade to the latest version and reset VPN users passwords.
Patch status Available
Status Open

English below

Samenvatting

Op 19 November is door een threat intelligence analyst een lijst met 49,577 kwetsbare Fortinet VPN devices aangetroffen. Het gaat hier om Fortinet devices die kwetsbaar zijn voor CVE-2018-13379, via deze kwetsbaarheid kan een aanvaller via een aangepast HTTP request systeem bestanden opvragen waartoe hij normaal gesproken geen toegang zou moeten hebben. Door het bestand sslvpn_websession op te vragen, is het mogelijk om de inlogggegeven van gebruikers te stelen.

Wat kunt u doen?

Als u gebruik maak van Fortinet VPN of FIrewall devices, controleer dan de versienummer om te zien om deze kwetsbaar zijn. Zie hiervoor het FortiGuard PSIRT Advisory. Indien uw Fortinet device kwetsbaar is, herstel dan de kwetsbaarheid en ga ervan uit dat de gebruikersnamen en wachtwoorden van uw gebruiker gelekt zijn. De kwetsbaarheid kan verholpen worden door te upgraden naar een niet kwetsbare versie. Voor de eindegebruikers raden we u aan minimaal hun wachtwoorden te resetten.

Wat doen wij?

Onderzoekers van het DIVD verwerken de gelekte lijst en verifiëren of de op de lijst genoemde systemen inderdaad kwetsbaar zijn. Indien systemen kwetsbaar zijn zullen wij de beheerders van deze systemen op de hoogte proberen te stellen.

Timeline

Date Description
24-05-2019 Fortinet PSIRT publiceert advisory voor CVE-2019-13379
20-11-2020 Onderzoeker treft lijst met kwetsbare systemen aan
22-11-2020 Bleeping Computer publiceert artikel
23-11-2020 Fortinet geeft een statement aan Bleeping Computer
25-11-2020 DIVD begonnen met verwerken van de lijst
3-12-2020 Eerste notificaties verstuurd

Meer informatie


English

Summary

On November 19th a threat intelligence analyst found a list with 49,577 vulnerable Fortinet VPN devices online. These devices are vulnerable to CVE-2018-13379, through this vulnerability an attacker can gain access to system files via crafted HTTP requests. Specificaly the system file sslvpn_websession can be acccess and used to retrieve user login credentials.

What you can do

If your system is vulnerable we advice to upgrade, and to reset the passwords for all VPN users. See FortiGuard PSIRT Advisory for more information.

What we are doing

DIVD researchers are processing the list of vulnerable systems to verify if they are indeed vulnerable. If they are we will notify the administrators of these systems.

Timeline

Date Description
24-05-2019 Fortinet PSIRT publishes advisory for CVE-2019-13379
20-11-2020 Researcher comes across list of vulnerable systems
22-11-2020 Bleeping Computer publishes article
23-11-2020 Fortinet issues a statement to Bleeping Computer
25-11-2020 DIVD started processing the list
3-12-2020 First notifications sent

More information