Enda en gang har man en alvorlig sårbarhet på kritiske komponenter (CVE-2024-23113). Det skjer hele tiden. Denne gangen er det (igjen) Fortinet, og enda en gang snakker vi høy CVSS score, 9.8 av 10 (link til artikkel lenger ned). Dette er mao. alvorlig, og man har allerede sett misbruk av sårbarheten.
Alltid anta at du har sårbarheter
Grunnen til denne artikkelen er dette:
Fortinet has released patches for the affected products and strongly recommends users upgrade to the latest secure versions.
- FortiOS 7.4: 7.4.0 through 7.4.2 – Upgrade to 7.4.3 or above
- FortiOS 7.2: 7.2.0 through 7.2.6 – Upgrade to 7.2.7 or above
- FortiOS 7.0: 7.0.0 through 7.0.13 – Upgrade to 7.0.14 or above
- FortiPAM 1.2: All versions – Migrate to a fixed release
- FortiPAM 1.1: All versions – Migrate to a fixed release
- FortiPAM 1.0: All versions – Migrate to a fixed release
- FortiProxy 7.4: 7.4.0 through 7.4.2 – Upgrade to 7.4.3 or above
- FortiProxy 7.2: 7.2.0 through 7.2.8 – Upgrade to 7.2.9 or above
- FortiProxy 7.0: 7.0.0 through 7.0.15 – Upgrade to 7.0.16 or above
- FortiWeb 7.4: 7.4.0 through 7.4.2 – Upgrade to 7.4.3 or above
Som dere ser har dette vært en sårbarhet lenge, og det er en sårbarhet som har eksistert/eksisterer i en «modul».
The vulnerability stems from a use of externally-controlled format string in the FortiOS fgfmd daemon.
Hva skal man gjøre?
Det aller viktigste er for oss mennesker å alltid anta at sårbarheter eksisterer og at de vil bli misbrukt. Anta at systemene er kompromittert. Basert på dette må man begynne å tenke lagvis sikkerhet først og fremst for å forhindre suksessfull utnyttelse.
Å misbruke selve sårbarheten er som regel ikke nok til å komme i mål, da kriminelle aktører som oftest må igjennom flere steg, som bevegelse til andre deler av infrastrukturen, de trenger rettigheter, de trenger tid for å finne det de leter etter, de skal lekke informasjon, de trenger gjerne å etablere en bakdør, samt ofte laste ned skadevare. Og alt dette kan man redusere sannsynligheten for at kan skje, om man er på jobb med hodet påskrudd.
Anta
Det er viktig å ha en kultur for dette på hele IT avdelingen. Alle som jobber med IT på en eller annen måte må alltid anta at ting er sårbare og blir misbrukt. Alle må i denne kulturen bidra til å redusere angrepsflaten og dermed risikoen med gode implementasjoner av kode, teknologi, infrastruktur, logging, eventuelt overvåking, rettigheter, tilgangskontroll og mer.
Om mennesker/administratorer får inn denne kulturen vil sannsynligheten for suksessfulle hendelser gå ned.
Min hverdag går primært ut på å bedrive pedagogikk. Kompetanseheving på trusselbildet for alle nivåer i organisasjonen, og dermed kompetanseheving på hva som trengs for å leve tryggere. For dette handler først og fremst om mennesker, da man ikke kan kjøpe seg ut av dette med penger alene.
Angrep vil fortsette kontinuerlig. «Hendelser» skjer hele tiden. Poenget er å vingeklippe dem slik at de ikke blir «suksessfulle» for de kriminelle.
Zero Trust. Assume Compromise. Least Privilege.
Disse tingene er det jeg har med meg i hverdagen hver eneste dag. Dette er elementene jeg har i bakhodet når jeg reviderer og optimaliserer oppsett og konfigurasjon hos kunder. Dette er elementer som er sentralt i pedagogikken når jeg snakker med kunder.
Dette henger sammen med det virkelige trusselbildet og virkelige hendelser. Det baserer seg på læring av teknikker som brukes og misbrukes. Veldig ofte er det enkelt å forhindre, om man jobber med det hver eneste dag, og da snakker jeg ikke om meg, men om deg som leser og dine kolleger. Dette er lagarbeid.
VG testen vil gjøre en stor forskjell
Eller. Selve VG testen er som en blodprøve og gjør i seg selv ingen forskjell, mens adressering av den gjør en kjempeforskjell.
Å ha en sårbarhet trenger ikke å være farlig, og om noen misbruker den er ikke det synonymt med en suksessfull hendelse.
Om denne Fortinet sårbarheten misbrukes, og neste steg er at brannmuren må ut på internett for å hente ned kode, burde det være enkelt å forhindre dette med proaktiv sikkerhet.
Lag regelsett som bare tillater det komponenten trenger mot internett, og sperr alt annet. Da vil kommunikasjon med «moderskipet» fungere, software og signatur oppdateringer vil fungere som det skal, men slemmingene vil ikke lykkes i å laste ned de elementene de trenger for sine neste steg, og dermed er typisk krisen avverget.
Selv om krisen er avverget vil det være en stor fordel med god logging, og da helst i tillegg alarmering, og dermed oppdagelse for opprydding.
Å anta er viktig, dermed er logging også veldig viktig
Anta det verste. Gjør så godt dere kan, kontinuerlig, for man blir aldri ferdig. Sikre at dere har godt med logger. Hva som er godt nok vil variere, men erfaringen er at de aller fleste har altfor lite logging.
Sikre at logger er samlet sentralisert slik at det er enkelt å jobbe med dem.
Sikre grunnleggende alarmering av kritiske hendelser. En logg/alarm uten oppmerksomhet gjør ingen forskjell om de slemme lykkes.
AI?
Denne artikkelen er ikke skrevet med AI, men på min telefon i sengen etter at man våkner alt for tidlig 🙈.
Det enkle er ofte det beste, også innen sikkerhet. Mye, veldig mye, kan gjøres med den teknologien man allerede har på plass uten å kjøpe en eneste ting.
Leave a Reply