Archiv der Kategorie: Workaround Tutorials

Usability and Addons Integration unblog Technical Workarounds and Tutorials for Professionals

FortiOS CVE-2018-13379 Advisory FG-IR-18-384

Angeblich brachten viele Admins ihre FortiGate VPNs nicht auf den aktuellen Stand, sodass Angreifer Systeme attackieren. Der Grund ist der nun aufgetauchte Exploit-Code für die Sicherheitslücke (CVE-2018-13379) aus dem Jahr 2019.

Erfolgreiche Attacken auf das SSL-VPN konfigurierte FortiOS soll durch das senden von präparierten HTTP-Anfragen ermöglichen. Es könnten Angreifer auf Systemdateien zugreifen und so beispielsweise Zugriff auf unverschlüsselte Zugangsdaten bekommen. Anschliessend könnten sie sich auf verwundbaren VPN-Firewalls einloggen und diese kompromittieren.

FortiOS das auf FortiGate Firewalls zum Einsatz kommt, weist bei mehrere Versionen des Security-Network-Betriebssystems insgesamt sechs Sicherheitslücken auf, die das SSL-VPN Webportal betreffen. Fortinet hat die FortiGuard Security Advisories mit Update-Hinweisen veröffentlicht.

FortiGuard PSIRT Advisory

Der original Textauszug:

FortiOS system file leak through SSL VPN via specially crafted HTTP resource requests

Summary

A path traversal vulnerability in the FortiOS SSL VPN web portal may allow an unauthenticated attacker to download FortiOS system files through specially crafted HTTP resource requests.
Impact

Information Disclosure
Affected Products
FortiOS 6.0 – 6.0.0 to 6.0.4
FortiOS 5.6 – 5.6.3 to 5.6.7
FortiOS 5.4 – 5.4.6 to 5.4.12
(other branches and versions than above are not impacted)
ONLY if the SSL VPN service (web-mode or tunnel-mode) is enabled.
Solutions

Upgrade to FortiOS 5.4.13, 5.6.8, 6.0.5 or 6.2.0 and above.

Workarounds:

As a temporary solution, the only workaround is to totally disable the SSL-VPN service (both web-mode and tunnel-mode) by applying the following CLI commands:

config vpn ssl settings
unset source-interface
end

Note that firewall policies tied to SSL VPN will need to be unset first for the above sequence to execute successfully.

As an example, when source-interface is „port1“ and SSL VPN interface is „ssl.root“, the following CLI commands would be needed to ensure „unset source-interface“ executes successfully:

config vpn ssl settings
config authentication-rule
purge (purge all authentication-rules)
end
end

config firewall policy
delete [policy-id] (SSL VPN policy ID(s) that srcintf is „ssl.root“ and dstintf is „port1“)
end

Note that code to exploit this vulnerability in order to obtain the credentials of logged in SSL VPN users was disclosed. In absence of upgrading to the versions listed above, mitigating the impact of this exploit can be done by enabling two-factor authentication for SSL VPN users. An attacker would then not be able to use stolen credentials to impersonate SSL VPN users.

Beitrag Teilen!

Apache-Konfigurationsdateien mehrzeilig auskommentieren

Mehrzeilige Kommentarblöcke in Apache.conf Konfigurationsdateien

Apache .conf-Dateien unterstützen nur einzeilige Kommentare, beginnend jeweils mit einem Hash (#) Zeichen. Sollen mehrere Zeilen als zusammenhängende Blöcke kommentiert werden, um beispielsweise eine VirtualHost-Konfiguration vorübergehend zu deaktivieren, bietet sich hierzu eine nicht vorhandene Laufzeitvariable anzuwenden, mit einer erfundenen IfDefine-Direktive umschliesst man den Codeblock der ignoriert werden soll, wie in folgendem Beispiel:

Die VirtualHost-Direktive wird ignoriert, da IgnoreLines ein erfundener Parameter ist, der niemals auf true getestet wird. Wenn man die VirtualHost-Direktive wieder ausführen möchte, entfernt man einfach IfDefine wieder.

Um zu verifiziren welche VirtualHost ausgeführt werden, führt man bei redhat und CentOS folgendes Apache control command aus.

Bei Ubuntu ist das Apache HTTP server control command wie folgt.

Beitrag Teilen!

Windows Firewall deaktivieren mit PowerShell

Deaktivieren der Windows Firewall einfach mit netsh oder in der PowerShell

Es gibt immer noch Situationen, in denen es notwendig ist, die Firewall zu deaktivieren. Dazu gibt es unterstützte Methoden, bei diesen der Dienst nicht angehalten oder deaktiviert werden muss. Unter Windows Server 2008 R2 oder höher kann die Firewall aus der Konsole mithilfe von netsh-Befehlen deaktiviert werden. Windows Server 2012 oder höher ermöglicht darüber hinaus die ausführung des Set-NetFirewallProfile PowerShell-Cmdlet.

Deaktivieren der Firewall mit Windows PowerShell.

Dazu öffne Windows PowerShell als Administrator und führe folgende Zeile aus:

Die wieder aktivierung der Windows Defender Firewall erfordert am Ende -Enable True anstelle von False.

So deaktiviert man die Firewall mit dem netsh-Befehl.

Öffne eine Eingabeaufforderung mit administrativen Rechten und füge folgendes Command ein:

Beitrag Teilen!