Veiligheidswaarschuwing van Fortinet: Criticale kwetsbaarheid in FortiOS ontdekt
Fortinet, een toonaangevend bedrijf op het gebied van cybersecurity, heeft een beveiligingswaarschuwing uitgegeven over een kwetsbaarheid in FortiOS, geclassificeerd als “Incorrect Provision of Specified Functionality” (CWE-684). Deze kwetsbaarheid stelt een lokale, geauthenticeerde aanvaller in staat om systeemcommando’s uit te voeren op het apparaat via op maat gemaakte CLI-commando’s. Fortinet heeft inmiddels al gecorrigeerde versies vrijgegeven en heeft aangegeven welke versies en FortiGate-modellen zijn getroffen.
Hoewel het geen remote 0-day zonder inloggegevens betreft, is het operationeel risico aanzienlijk. In veel omgevingen is de CLI-console (SSH/console) toegankelijk voor verschillende beheerders, serviceaccounts of directory-integraties. Bij compromittering van één van deze accounts — of als gevolg van een slechte scheiding van bevoegdheden — kan een aanvaller het bereik vergroten en controle over de onderliggende firewall verkrijgen. Daarom is snelle patching, in combinatie met maatregelen voor versteviging van administratieve toegang, een prioriteit.
Aangetaste versies van FortiOS
Aangetaste versies:
- FortiOS 7.6: 7.6.0
- FortiOS 7.4: 7.4.0 t/m 7.4.5
- FortiOS 7.2: 7.2.0 t/m 7.2.10
- FortiOS 7.0: 7.0.0 t/m 7.0.15
- FortiOS 6.4: alle versies (geen fix beschikbaar; migratie vereist)
Versies met correctie:
- 7.6.1 of hoger
- 7.4.6 of hoger
- 7.2.11 of hoger
- 7.0.16 of hoger
- Voor 6.4 adviseert Fortinet om te migreren naar een ondersteunde tak die de correctie bevat.
De oorspronkelijke publicatie van de waarschuwing is op 14 oktober 2025. Organisaties met strikte beschikbaarheidseisen wordt aangeraden zo snel mogelijk een onderhoudsraam te plannen en zich te baseren op de aanbevolen upgrade-route van de fabrikant om compatibiliteit te behouden.
Betroffen FortiGate-modellen
Het waarschuwing documenteert de volgende betroffen modellen:
- 100E/101E, 100F/101F
- 1100E/1101E
- 1800F/1801F
- 2200E/2201E
- 2600F/2601F
- 3300E/3301E, 3400E/3401E
- 3500F/3501F
- 3600E/3601E
- 3800D
- 3960E, 3980E
- 4200F/4201F
- 4400F/4401F
- 5001E
- 6000F
- 7000E, 7000F
Andere modellen worden niet als getroffen vermeld. Het is echter raadzaam om te controleren of uw apparaat een kwetsbare versie draait en het upgraden zo snel mogelijk te plannen.
Waarom deze kwetsbaarheid belangrijk is, ondanks vereiste authenticatie
Het risico is significant omdat:
- Veel organisaties hebben meerdere beheerders of externe leveranciers met toegang.
- Integratie van het beheer met LDAP/AD/RADIUS vergroot de aanvalsoppervlakte bij compromittering van een domeinaccount.
- Jump-hosts en beheer VPN’s die niet goed zijn gesegmenteerd of geen MFA gebruiken, maken ongeautoriseerde toegang mogelijk.
In deze context kan een fout die capaciteiten vergroot na authenticatie een kritische pivot worden, wat leidt tot manipulatie van beleidsregels, vergroten van aanhoudendheid of verstoren van het verkeer dat inspectie behoeft.
Aanbevolen actieplan voor netwerk- en beveiligingsteams
Inventaris en versiecontrole
- Maak een lijst van alle FortiGate-apparatuur met model en versie.
Versteviging van de toegang (indien patchen niet mogelijk is)
- Beperk administratieve toegang tot vertrouwde beheer-IP’s.
- Activeer MFA voor alle bevoegdheden.
- Schakel tijdelijk CLI/SSH-toegang uit van niet-essentiële interfaces.
- Herzie beheerprofielen en pas het principe van minimum privileges toe.
- Controleer beheerslogs op anomalie.
Update strategie in HA/VDOM
- Maak een backup van de configuratie en neem snaps waar van toepassing.
- Bij een HA-cluster, werk eerst de secundaire lid bij.
Verificatie na patching
- Bevestig de final versie en voer functionele tests uit.
Conclusie
Als uw FortiGate FortiOS 7.6.0; 7.4.0–7.4.5; 7.2.0–7.2.10; 7.0.0–7.0.15 of een versie van 6.4 draait, update dan zo snel mogelijk naar een gecorrigeerde versie, beperk de toegang tot vertrouwde IP’s en activeer MFA.
Deze situatie herinnert ons aan het belang van continue monitoring en beveiliging om de integriteit van onze netwerken te waarborgen.