FortiOS: XSS- und URL Redirection-Schwachstellen im SSLVPN-Portal

Wie Fortinet im FortiGuard-Center (s.u.) veröffentlicht hat, ist eine Schwachstelle im SSLVPN-Webportal entdeckt worden. Sie kann – von einem authentifizierten Benutzer – ausgenutzt werden, um per Cross-Site-Scripting und URL Redirection die betroffene Fortinet Firewall (FortiGate oder FortiWifi) zu kompromittieren. Der … Weiterlesen

Gefahr für Cross-Site-Scripting und DoS in FortiOS v5.4

Wie u.a. der CERT-Bund in der Kurzmeldung CB-K17-1805 vom 25.10.17 bekannt gab, kann unter bestimmten Umständen eine Schwachstelle in FortiOS benutzt werden, um sowohl einen Denial-of-Service-Angriff als auch ein Cross-Site-Scripting über das Webinterface durchzuführen. Gefährdet sind die FortiOS-Versionen v5.4.0 – … Weiterlesen

FortiOS v4.3: es wird höchste Zeit für ein Upgrade! (DUHK)

Vor kurzem ist eine Schwachstelle namens DUHK (“don’t use hardcoded keys”) veröffentlicht worden, die auch die älteren Versionen von FortiOS betrifft. Schlimmstenfalls kann ein Angreifer dadurch die IPsec-Verschlüsselung eines VPN-Tunnels dechiffrieren und den Verkehr mitlesen. Neben IPsec ist auch SSL/TLS … Weiterlesen

tools

tools for FortiOS From time to time I will add useful batch command files or scripts that deal with certain aspects of FortiOS, the operating system of FORTINET’s firewalls. Copy-Left: feel free to use the scripts in your work as … Weiterlesen

NSA-Hackingtools gefährden FortiGates – wirklich?

Wie in den letzten Tagen gemeldet wurde, kann mit Hilfe der “NSA-Hacking tools”, die von der Equation Group veröffentlicht worden sind, eine Lücke im Betriebssystem der FORTINET Firewalls ausgenutzt werden, um sich unauthorisiert Zugang zu verschaffen. Fortinet hat am 17.8.2016 … Weiterlesen