"A támadók számára hozzáférhetővé válhatnak a szerverek, illetve az azokon tárolt adatok is, mivel rendelkezni fognak a felhasználók azonosítójával és jelszavával, amely nemcsak a VPN-csatlakozáshoz, de a felhasználók levelezésének, illetve a különféle szerverek adatterületeinek eléréséhez is felhasználhatók"
fortinal kulon van az SSL VPN webinterfesze es a management webinterfesz, ez a cikk az SSL VPN interfeszrol szol es ha azt nem rakod ki a NET -re, akkor tunnel mode -ban sem tudod hasznalni az SSL VPN -t.
nyilvan semmi keresnivalojuk ott, de tobb mint 1 eve javitott hibarol cikkeznek, ez olyan mintha most kezdenenk beszelgetni a mult ev Windows sebezhetosegeirol...jaa, hogy annyi volt, hogy meg jovore is arrol beszelnenk :-)
A DT összes modem/routere (ami megfordult a kezem között) ugyanott lyukas, dyndns beállításon keresztül kódfuttatás.
A MT Huawei doboza meg directory traversalban szenved.
Bár ezeket soha nem fogják kijavítani, szerintem akkor sem javítanák, ha RCE lenne benne.
Bevallom, nem szoktam ellenőrizni, hogy a blokkok mennyire vannak szinkronban a külső oldalakkal. Akkor szokott a hírolvasó kiesni a szinkronból, ha a feed-ben valami olyan formai hiba van, amit a parser nem tud értelmezni. Ez esetben amíg ki nem fut a feed-ből a hibás rész, nem frissül.
Ja, értem. Szerintem a @buhera is csak a címet olvasta, merthogy a lényeg nem az, hogy most jöttek rá több éves hibára, hanem az, hogy a héten publikáltak egy IP cím listát a még sebezhető VPN szerverekről.
Az NKI-nak is kijár a seggberúgás a dátumozatlan híroldalukért. Se a cikkoldalon, se az URL-ben nem szerepel semmilyen dátum. Lóg a levegőben az egész. A blikktől elnézem (mert azt nem olvasom), de egy ilyen profilú oldalnak ha kicsit is komolyan veszik magukat, ILLENE ezt feltüntetni. A következő fortinet fuckup-nál pedig máshogyan kell majd megfogalmazniuk a szenzációhajhász szalagcímet, h. az URL-ben ne legyen ütközés.
A listan szereplo csaknem 50k eszkozbol valaki le is gyujtotte a hitelesitesi adatokat (nyilvan azokbol, amelyek BIZTOSAN serulekenyek voltak) es meg publikalta is. Az adatokat megnezve lathato, hogy a listan szereplo eszkozok 93%-a BIZTOSAN serulekeny volt a legyujtes pillanataban (nem tudjuk mikor tortent), mivel az eszkozok 93%-nal ott vannak a cuccban a felhasznalo nevek es jelszavak.
A listan szereplo 61 hazai eszkozbol 45 BIZTOSAN serulekeny volt a legyujteskor, mivel ennyinel szerepelnek a hitelesitesi adatok. (bar a lista osszeallitasahoz mar ki kellett hasznalnia a serulekenyseget, szoval szerintem mindegyik az volt amikro a lista keszult)
Es valoban, nem a serulekenyseg uj, hanem a lista maga az uj.
Anno a heartbleed környékén a bankok egy része verte a mellét, hogy nem érintettek... arról nem beszéltek, hogy olyan régi SSL library miatt nem érintettek, amiben még nem volt benne a hiba... :)
Ez nem policy, ez kreténség és hozzánemértés vagy a szokásos szarevés. Amelyik cég ekkora szándékos hanyagság után így jár az sem érdemli meg, de azért az árát fizessék meg legalább egy új eszküzzel. Viszont azok a kamu támogató cégek akik elsődlegesen számláznak valódi felügyelet helyett, azokat viszont elő kell venni de komolyan.
Ez nem szandekos hanyagsag. Minden cuccban elofordulhat hiba. A Forti a hibat kijavitotta. A felhasznaloit annak idejen is ertesitette. Amikor megjelent ez a lista megint jeleztek es ertesiteseket kuldtek.
Ha nem frissiti az adott ceg az eszkozet, az nem a Fortinet felelossege.
A tamogato cegekkel kapcsolatban teljesen igazad van, ha vvan az adott cegnek elo tamogatasa, es nem frissitette le neki a tamogato, azt kerjek szamon.
Félreértetted. Az, hogy van hiba a saját vagy felhasznált kódban, esetleg a konfigurációban az sajnos normális. A borzalmas hanyagság az, hogy magukra hagyják az eszközöket.
Azt viszont nem tudom, hogy a Fortigate is csak élő előfizetéssel engedi a távolról kihasználható kritikus sebezhetőségeket javítani mint pl Cisco?
Én sem értek vele egyet, és nem is támogatom az ilyen hozzáállást (szerencsére nálunk nem is ez a Policy), de ismerek olyan céget, ahol azt mondják, hogy amíg működik valami, ne frissítsék, mert csak el fog romlani, vagy le fog lassulni. Ezeknél a cégeknél főleg nem informatikusok hozzák meg ezt a dönmtést egy rossz tapasztalat vagy hozzá nem értő munkatárs miatt. De ismertem olyan rendszergazdát is, aki konkrétan 17 frissítést nem rakott fel az elsődleges tűzfalra, mert félt, hogy valamelyik el fogja rontani rajta a VPN beállításokat. (közülükben több kritikus biztonsági javítás volt, neten elérhető exploittal)
Szóval lehet, hogy hülyeség, de sajnos létező jelenség.
Szerintem hibas a cim. Milyen szempontbol szamit komolynak egy olyan szamitogepes halozat, ahol egy kritikus elemre masfel ev alatt nem voltak kepesek feltenni egy patchet?
A strange game. The only winning move is not to play. How about a nice game of chess?
Ez onmagaban meg nem mervado. Egy tisztesseges ipari halozatban 15-20-25 eves cuccok mennek, a budos eletbe se frissitette oket senki a multban es a jovoben sem fogja.
nyilvan igazad van abban, hogy a tuzfalat frissiteni kellett volna, de onmagaban a serulekeny eszkozok hasznalata nem hatarozza meg egy halozat komolysagat vagy komolytalansagat :)
Es akkor jojjon pentek delutani lazulasra egy kis jelszostatisztika :-)
A breachben kb 197ezer egyedi felhasznalo nev es jelszo paros szerepel. Ha megnezzuk a jelszohasznalatot, az alabbi latszik:
1552 jelszoban szerepel a "password"
1243 jelszoban szerepel a "p@ss"
123 jelszoban szerepel a "P@$$"
314 jelszoban szerepel a "Pass@"
149 jelszoban szerepel a "support"
981 jelszoban szerepel a "welcome"
20988 jelszoban szerepel a "2020"
3634 jelszoban szerepel a "2019"
1924 jelszoban szerepel a "2018"
Az "1234" 6634 jelszoban szerepel
Az "12345" 3548 jelszoban szerepel
Az "123456" 2391 jelszoban szerepel
Az "1234567" 820 jelszoban szerepel
Az "12345678" 644 jelszoban szerepel
Az "123456789" 314 jelszoban szerepel
"abc"-vel 539 jelszo kezdodik
"abcd"-vel 322 jelszo kezdodik
A "qwer" 433 jelszoban szerepel, ebbol 321 kezdodik ezzel
A "qwerty" 160 jelszoban szerepel, ebbol 145 kezdodik ezzel
27 esetben szerepel a jelszoban a "fuck"
18 esetben szerepel a jelszoban a "suck"
20 esetben szerepel a jelszoban "trump" (szeles a paletta, a fuck es trump parositasa, trump es 2019 vagy 2020 parositas)
2 esetben szerepel a jelszoban "biden" ("sucks"-al parositva, illetve evszammal feltehetoleg a politikus lett megenekelve)
107 esetben szerepel a jelszoban a "covid"
93 esetben szerepel a jelszoban a "corona"
Mivel a jelszavak kozott boven akad december2020, october2020, november2020, illetve covid meg corona is, eleg valoszinu, hogy az eredetileg megjelent listat valaki mostanaban jarta vegig es gyujtotte be az adatokat.
Hozzászólások
"A támadók számára hozzáférhetővé válhatnak a szerverek, illetve az azokon tárolt adatok is, mivel rendelkezni fognak a felhasználók azonosítójával és jelszavával, amely nemcsak a VPN-csatlakozáshoz, de a felhasználók levelezésének, illetve a különféle szerverek adatterületeinek eléréséhez is felhasználhatók"
Ez borzasztóan hangzik.
Aki egy tűzfal web interfészét kiteszi a netre sikeres ember amúgy sem lehet.
fortinal kulon van az SSL VPN webinterfesze es a management webinterfesz, ez a cikk az SSL VPN interfeszrol szol es ha azt nem rakod ki a NET -re, akkor tunnel mode -ban sem tudod hasznalni az SSL VPN -t.
FBK
A kérdés, hogy miért vannak ott plaintext-ben az AD (vagy más címtár) jelszavak?
nyilvan semmi keresnivalojuk ott, de tobb mint 1 eve javitott hibarol cikkeznek, ez olyan mintha most kezdenenk beszelgetni a mult ev Windows sebezhetosegeirol...jaa, hogy annyi volt, hogy meg jovore is arrol beszelnenk :-)
FBK
Persze, de ez független a konkrét sérülékenységtől.
Ha nem tudod, nem fáj. :)
sajnos a cisco -nal es a tobbi nagy gyartonal is lehetne beszelgetni hasonlo hibakrol, volt nehany ha csak az elmult 10 evet nezzuk is.
az, hogy ezek a hibak okkal, vagy ok nelkul kerulnek bele a szoftverekbe, kizarolag hit kerdese, megtudni sosem fogjuk az igazsagot :-)
FBK
Persze, hogy voltak és lesznek is.
A DT összes modem/routere (ami megfordult a kezem között) ugyanott lyukas, dyndns beállításon keresztül kódfuttatás.
A MT Huawei doboza meg directory traversalban szenved.
Bár ezeket soha nem fogják kijavítani, szerintem akkor sem javítanák, ha RCE lenne benne.
sajnos hatalmas botnet a vilag.
FBK
Hmm a tunnel mode-hoz vajon miért kell nyelvválasztás? (az fgt_lang-ból tippeltem :))
Szerintem a Csólyomospáloson lakók jó eséllyel tippelhetnek arra kié lehet a két sebezhető rendszer :-)
Milyen szerencse, hogy ilyenre sincs pénz itt.
hatalmas cikk, a hiba regen javitva lett, az, hogy cegek nem frissitik a tuzfalaikat, az a sajat inkompetenciajuk :-)
FBK
Nem néztem meg, itt erről van szó? :)
https://twitter.com/buherator/status/1331908953400348672?s=20
trey @ gépház
Az NKI gyorsabb volt mint a Telex. ;)
https://nki.gov.hu/it-biztonsag/hirek/figyelem-fortinet-vpn-jelszavak-s…
A hahotázás gondolom ettől nem hagy alább :D
trey @ gépház
Legalább kiderült, hogy nem tökéletes a hup-os integráció. ;)
Jelentsen az bármit is :D
trey @ gépház
Neked mi a legújabb hír az itteni blokkjukban?
Nekem:
Az oldalukon azóta van 8. :) (Köztük két fortinetes, mondjuk szerintem a kettő ugyanaz csak a régebbi hétfői :))
Lehet innen írták a cikket a Telexesek.
Bevallom, nem szoktam ellenőrizni, hogy a blokkok mennyire vannak szinkronban a külső oldalakkal. Akkor szokott a hírolvasó kiesni a szinkronból, ha a feed-ben valami olyan formai hiba van, amit a parser nem tud értelmezni. Ez esetben amíg ki nem fut a feed-ből a hibás rész, nem frissül.
Kb. a ki nem szarja le kategória.
Ahogy nézem, te képben vagy. :D
trey @ gépház
Mintha az történt volna, hogy most publikáltak egy nagy listát azokról, akiknél még a nem frissített verziót fut.
https://iotguru.cloud
Úgy döntöttem, hogy majd akkor olvasom végig a cikket, amikor a helyesbítés rész az alján legalább 2 órája nem változott :D
trey @ gépház
Ja, értem. Szerintem a @buhera is csak a címet olvasta, merthogy a lényeg nem az, hogy most jöttek rá több éves hibára, hanem az, hogy a héten publikáltak egy IP cím listát a még sebezhető VPN szerverekről.
https://iotguru.cloud
Hát egen, értő olvasás is kellene 2 gondolkodásnélküli retweet között. De hát a twitter az ilyen 1másodperces impulzus-drog.
Az NKI-nak is kijár a seggberúgás a dátumozatlan híroldalukért. Se a cikkoldalon, se az URL-ben nem szerepel semmilyen dátum. Lóg a levegőben az egész. A blikktől elnézem (mert azt nem olvasom), de egy ilyen profilú oldalnak ha kicsit is komolyan veszik magukat, ILLENE ezt feltüntetni. A következő fortinet fuckup-nál pedig máshogyan kell majd megfogalmazniuk a szenzációhajhász szalagcímet, h. az URL-ben ne legyen ütközés.
wtf is FortiGate*Net*** ? Ha sose hallottam róla akkor már biztonságban vagyok?! :))
Amúgy tényleg most hallottam először erről a "cégről".
A Fortinet a vilag egyik legnagyobb UTM tuzfal gyartoja.
Es akkor meg pontositsuk a dolgot.
A listan szereplo csaknem 50k eszkozbol valaki le is gyujtotte a hitelesitesi adatokat (nyilvan azokbol, amelyek BIZTOSAN serulekenyek voltak) es meg publikalta is. Az adatokat megnezve lathato, hogy a listan szereplo eszkozok 93%-a BIZTOSAN serulekeny volt a legyujtes pillanataban (nem tudjuk mikor tortent), mivel az eszkozok 93%-nal ott vannak a cuccban a felhasznalo nevek es jelszavak.
A listan szereplo 61 hazai eszkozbol 45 BIZTOSAN serulekeny volt a legyujteskor, mivel ennyinel szerepelnek a hitelesitesi adatok. (bar a lista osszeallitasahoz mar ki kellett hasznalnia a serulekenyseget, szoval szerintem mindegyik az volt amikro a lista keszult)
Es valoban, nem a serulekenyseg uj, hanem a lista maga az uj.
Ok. Forti Gate :D Értem.
Nagyon rég már kinn van rá a javítás, de sajnos lehet hogy sok helyen egyszerűen magára vannak hagynak hagyva.
Sok helyen sajnos az a policy, hogy amíg fut a rendszer, ne nyúlj hozzá.
Ez igaz tűzfalakra, szerverekre, IOT eszközökre...
Nagy Péter
Anno a heartbleed környékén a bankok egy része verte a mellét, hogy nem érintettek... arról nem beszéltek, hogy olyan régi SSL library miatt nem érintettek, amiben még nem volt benne a hiba... :)
https://iotguru.cloud
Ez nem policy, ez kreténség és hozzánemértés vagy a szokásos szarevés. Amelyik cég ekkora szándékos hanyagság után így jár az sem érdemli meg, de azért az árát fizessék meg legalább egy új eszküzzel. Viszont azok a kamu támogató cégek akik elsődlegesen számláznak valódi felügyelet helyett, azokat viszont elő kell venni de komolyan.
Ez nem szandekos hanyagsag. Minden cuccban elofordulhat hiba. A Forti a hibat kijavitotta. A felhasznaloit annak idejen is ertesitette. Amikor megjelent ez a lista megint jeleztek es ertesiteseket kuldtek.
Ha nem frissiti az adott ceg az eszkozet, az nem a Fortinet felelossege.
A tamogato cegekkel kapcsolatban teljesen igazad van, ha vvan az adott cegnek elo tamogatasa, es nem frissitette le neki a tamogato, azt kerjek szamon.
Félreértetted. Az, hogy van hiba a saját vagy felhasznált kódban, esetleg a konfigurációban az sajnos normális. A borzalmas hanyagság az, hogy magukra hagyják az eszközöket.
Azt viszont nem tudom, hogy a Fortigate is csak élő előfizetéssel engedi a távolról kihasználható kritikus sebezhetőségeket javítani mint pl Cisco?
Én sem értek vele egyet, és nem is támogatom az ilyen hozzáállást (szerencsére nálunk nem is ez a Policy), de ismerek olyan céget, ahol azt mondják, hogy amíg működik valami, ne frissítsék, mert csak el fog romlani, vagy le fog lassulni. Ezeknél a cégeknél főleg nem informatikusok hozzák meg ezt a dönmtést egy rossz tapasztalat vagy hozzá nem értő munkatárs miatt. De ismertem olyan rendszergazdát is, aki konkrétan 17 frissítést nem rakott fel az elsődleges tűzfalra, mert félt, hogy valamelyik el fogja rontani rajta a VPN beállításokat. (közülükben több kritikus biztonsági javítás volt, neten elérhető exploittal)
Szóval lehet, hogy hülyeség, de sajnos létező jelenség.
Nagy Péter
Szerintem hibas a cim. Milyen szempontbol szamit komolynak egy olyan szamitogepes halozat, ahol egy kritikus elemre masfel ev alatt nem voltak kepesek feltenni egy patchet?
A strange game. The only winning move is not to play. How about a nice game of chess?
magyar rögvalóság :)
Ez onmagaban meg nem mervado. Egy tisztesseges ipari halozatban 15-20-25 eves cuccok mennek, a budos eletbe se frissitette oket senki a multban es a jovoben sem fogja.
nyilvan igazad van abban, hogy a tuzfalat frissiteni kellett volna, de onmagaban a serulekeny eszkozok hasznalata nem hatarozza meg egy halozat komolysagat vagy komolytalansagat :)
Es akkor jojjon pentek delutani lazulasra egy kis jelszostatisztika :-)
A breachben kb 197ezer egyedi felhasznalo nev es jelszo paros szerepel. Ha megnezzuk a jelszohasznalatot, az alabbi latszik:
1552 jelszoban szerepel a "password"
1243 jelszoban szerepel a "p@ss"
123 jelszoban szerepel a "P@$$"
314 jelszoban szerepel a "Pass@"
149 jelszoban szerepel a "support"
981 jelszoban szerepel a "welcome"
20988 jelszoban szerepel a "2020"
3634 jelszoban szerepel a "2019"
1924 jelszoban szerepel a "2018"
Az "1234" 6634 jelszoban szerepel
Az "12345" 3548 jelszoban szerepel
Az "123456" 2391 jelszoban szerepel
Az "1234567" 820 jelszoban szerepel
Az "12345678" 644 jelszoban szerepel
Az "123456789" 314 jelszoban szerepel
"abc"-vel 539 jelszo kezdodik
"abcd"-vel 322 jelszo kezdodik
A "qwer" 433 jelszoban szerepel, ebbol 321 kezdodik ezzel
A "qwerty" 160 jelszoban szerepel, ebbol 145 kezdodik ezzel
27 esetben szerepel a jelszoban a "fuck"
18 esetben szerepel a jelszoban a "suck"
20 esetben szerepel a jelszoban "trump" (szeles a paletta, a fuck es trump parositasa, trump es 2019 vagy 2020 parositas)
2 esetben szerepel a jelszoban "biden" ("sucks"-al parositva, illetve evszammal feltehetoleg a politikus lett megenekelve)
107 esetben szerepel a jelszoban a "covid"
93 esetben szerepel a jelszoban a "corona"
Mivel a jelszavak kozott boven akad december2020, october2020, november2020, illetve covid meg corona is, eleg valoszinu, hogy az eredetileg megjelent listat valaki mostanaban jarta vegig es gyujtotte be az adatokat.
O1G nincs egyikben sem? :)
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség