Fortinet SSL VPN Exploit

Er zit een groot beveiligingslek in bepaalde versies van de SSL VPN van Fortinet en deze worden op het moment vrij actief aangevallen. Fortinet heeft voor deze kwetsbaarheid al updates beschikbaar, maar online zijn nog tal van kwetsbare systemen te vinden.

De kwetsbaarheid in de Fortigate SSL VPN maakt het mogelijk voor een aanvaller om op afstand de inloggegevens van actieve VPN gebruikers te bemachtigen, dit op enkele seconden tijd. Voor dit beveiligingslek verscheen op 24 mei een update, gevolgd door twee publiek beschikbare exploits op 14 en 17 augustus. Sinds 21 augustus wordt de kwetsbaarheid actief aangevallen. Volgens een Britse onderzoeker (Kevin Beaumont) zijn er een half miljoen van deze VPN-types op het internet te vinden. We raden beheerders die de beveiligingsupdate nog niet hebben geïnstalleerd aan om dit zo snel mogelijk te doen.

De kwetsbaarheid (CVE-2018-13379) werkt als volgt:

Via het SSL VPN web-portaal kan een aanvaller aan de hand van ‘directory traversal’ FortiOS systeem bestanden gaan uitlezen. De ‘path traversal’ wordt toegepast op de Web-portal zijn ‘language’ parameter in de URL, deze parameter gaat taal bestanden gaan inladen.

Hiervoor was geen directe beveiliging voorzien, maar achter elke file die wordt opgevraagd wordt er ‘.json’ toegevoegd. Als er een kleine buffer overflow wordt toegepast dan wordt de ‘.json’ gestript.
Hierdoor kon elk type bestand uitgelezen worden, wat dus voor aanvallers de mogelijkheid geeft om de ‘FortiOS Session’ file uit het geheugen te lezen, waarin actieve credentials in ‘plain’-tekst staan. (Zelfs de Administrator credentials…)

Voorbeeld van ‘path traversel’ in de URL:
https://vpn.secure-it.be/remote/fgt_lang?lang=/../../../..//////////dev/cmdb/sslvpn_websession

Een demo video waar we de exploit testen op onze labo-omgeving is hier te zien:
https://www.youtube.com/watch?v=h0a0g8U79vw

Deze volgende versies van Fortigate zijn kwetsbaar:

FortiOS 5.6.3 tot 5.6.7

FortiOS 6.0.0 tot 6.0.4

ALLEEN als de SSL VPN service (web-mode or tunnel-mode) is ingeschakeld.

Oplossing:

Upgrade naar FortiOS 5.6.8, 6.0.5 of 6.2.0

Meer informatie van Fortinet zelf, kan je hier vinden:
https://fortiguard.com/psirt/FG-IR-18-384