Celebrating our Community: Thank You for an Incredible Month
Blogs
Recently active
A lot happens in the cyber threat world each week. FortiGuard Labs distills some of the more impacting activity into our weekly threat brief. You can read the full brief here: https://fortiguard.com/resources/threat-brief, including a link to subscribe to the weekly email. Below is summary of some of our articles this week: We breakdown our analysis of a newly discovered variant of the NetWire RAT that is spreading via phishing email. Summation of our analysis of a new TrickBot variant our researchers discovered that is being used in a targeted attack. The threat authors have leveraged some interesting tactics. Microsoft released out-of-band updates addressing two vulnerabilities, one of which is being exploited in the wild. The Emotet malware awoke from its hiatus. The latest attack begins with a spear-phishing campaign that uses a Word document that references a recently released memoir of Edward Snowden. Foreign Trading NanoCore RATs - Our researchers encountered a large-scale phis
FortiGuard Labs Weekly Threat Brief summarizes the latest hot threat activity and insights from across this week's cyber threat landscape. Read here: Weekly Threat Brief FortiGuard Labs processes over 100 billion security events per day. This data is culled from our broad portfolio of products representing everything from devices to the cloud, and gives us a unique perspective of the threat landscape. We then turn this analysis into effective security guidance for you, for free, in our weekly threat brief. Here is a summary of what you will find in this week's edition: Nemty Analysis – FortiGuard Labs researchers recently analyzed the new Nemty ransomware. This malware contains similarities to the GandCrab ransomware… Most Dangerous Software Errors – This week MITRE published the Common Weakness Enumeration (CWE) Top 25 Most Dangerous Software Errors, a compilation of the most frequent and critical weaknesses that could lead to serious vulnerabilitie
A playbook is a collection of the tools, techniques and procedures that cyber criminals use to achieve their goal, organized in a structured format. Our playbooks are mapped to the Mitre ATT&CK framework and represent the life cycle of a particular threat campaign. These playbooks are designed to provide you with the detailed adversarial threat behavior you need to know to effectively protect and defend against a specific threat actors campaign. FortiGuard Labs has created a Playbook Viewer for you to access our playbooks. We currently have three playbooks available, mapping to Zegost, Silence Group, and Goblin Panda, with more to come. Access the Playbook Viewer here.
There was big news this week as rumors spread that a major company was discontinuing a well known feature. That’s right, Apple has stated that iTunes will be deprecated and discontinued. Slightly behind that was the news that Fortinet will not be supporting Virtual Cell functionality on our Wi-Fi 6 and later APs. This wasn’t an easy decision for us, and not one that Fortinet took lightly. Fortinet is very much a technology company. Innovation is in our DNA, and we’ve got entire walls here in HQ dedicated to highlighting all the work we put into our patents: The innovation Fortinet saw in Virtual Cell was one of the items that made the acquisition of this technology platform attractive several years ago because it solved real world problems we were seeing at customer sites. Moving away from a feature that’s historically been significant can be painful, but wireless in general has changed. I’ve been in the wireless industry since the Wi-Fi Alliance was still
Fortinet has completed release of our first APs to feature the new 802.11ax standard known as Wi-Fi 6: the FortiAP-U431F and the FortiAP-U433F. Both APs are members of our Universal line of access points. The FAP-U43xF APs are high performance tier 4x4 Wi-Fi 6 APs. Both APs are the first on the market with a flexible tri-radio design that allows for dual 5-GHz operation with client access on 2.4GHz or for operation on 2.4GHz and 5GHz while also offering 24x7 scanning on the third radio. These APs feature a multi-Gig port for uplink, BLE radio onboard, and are intended to run off 802.3at power. More details on these APs can be found in the datasheet here.
Fortinet has released new FW for our Universal line of Access Points, version 5.4.6. This release adds several feature enhancements when a FAP-U is being managed by a FortiGate, including: Location Based Services Scanning functions Distributed Automated RRP Transmit power control Voice Enterprise Split tunneling For a full list of added features, please reference the release notes here: https://docs.fortinet.com/document/wireless-controller/5.4.6/fortiap-u-release-notes/608012/introduction
Ideal for SD-Branch data centers, the FortiSwitch 3032 offers 32 QSFP28 slots that can support up to 100 GbE. It’s high capacity 1RU form factor is also well suited to augmenting the port capacity of some of our larger FortiGates. The FortiSwitch 3032E offers a secure solution for small data centers or data center distribution with dual redundant power supplies and configuration options to support redundancy through MC-LAG for mission critical applications. Like all of Fortinet’s FortiSwitch models, the FortiSwitch 3032E is capable of FortiLink which allows administrators to extend the proven security of our FortiGate NGFW to the Ethernet access layer. Please contact your Fortinet partner for ordering information.
As data breaches continue in frequency and severity, the need to protect sensitive resources through additional user identification has become a requirement for organizations of all sizes. FortiToken Cloud is Fortinet’s first entry into the Identity as a Service Market (IDaaS) offering. It provides everything needed to implement two-factor in your FortiGate environment including FortiToken Mobile as part of the service subscription. More information can be found here: https://www.fortinet.com/products/identity-access-management/fortitoken-cloud.html
New FortiAuthenticator 6.0 software when paired with FortiOS 6.2 enables the integration of FortiAuthenticator into the Security Fabric. Now administrators can add their FortiAuthenticator to monitor authentication services and FortiAuthenticator represented in both the logical and physical network topology views of their FortiGate. Several widgets are available which can offer valuable visibility into this extremely important aspect of network security.
Fortinet announces the availability of a new hosted service, FortiToken Cloud. FortiToken Cloud allows individual businesses and managed service providers to securely manage two-factor authentication for FortiGate from a cloud based platform. The service subscription provides everything necessary to implement two-factor authentication in your environment including our end user friendly FortiToken Mobile App. FortiToken Cloud does not require any additional hardware, software or security policy changes to provide two-factor authentication services for your FortiGate environment. The service is currently available, pricing information and further detail can be found on fortinet.com. Fortinet Website product page: FortiToken Cloud FortiToken Cloud Datasheet
Fortinet has released a new paid tier for our FortiPresence product. This will allow users to store and analyze data across an entire year as opposed to the one week limit in the current free tier. Additionally the new paid tier will remove the 5-site limit. FortiPresence is licensed on a per AP basis and is compatible with all three of our management offerings (FortiGate, FortiAP Cloud, or Dedicated Controller). For those customers using our cloud management, our paid cloud licenses for FortiAP Cloud will now include FortiPresence access. This new offering adds a new option to our FortiPresence line of products which already includes a free tier of FortiPresence as well as the FortiPresence PRO offering which features CRM integration and customer focused campaigns. FortiPresence represents an excellent opportunity for wireless customers to monetize their wireless network in new ways and obtain interesting insights into visitor's behaviors in the environment. For more
As of Jan 28th 2019 we have separated out direct AP management from FortiCloud into FortiAP Cloud. This separation does not impact functionality, licensing or user accounts but will alter the way AP management is accessed. If you have AP's under management in FortiCloud, you will access FortiAP Cloud via a link at the top of the FortiCloud page or login into www.fortiapcloud.com or Europe.fortiapcloud.com with your existing FortiCloud credentials.Overall this is part of our plan for enhancing user experience and simplicity in the future across all Fortinet cloud platforms and services.
Fortinet is releasing version 8.5 of our FortiWLC software paired with software version 8.4.1 of FortiWLM. These versions implement Multiple PSK, LLDP discovery of neighbor devices, IPSEC communication between APs and the controller, and enhanced IPv6 support. Additionally FortiWLM now features a built in RF Planning tool. With Multi-PSK, a single SSID can allow generation of unique pre-shared encryption keys for each wireless user (up to 16k keys in 8.5). This enhances the security of the network as there is no single PSK that all traffic on the network is using. As such compromising a single PSK no longer exposes the entire network’s traffic to decryption. LLDP discovery allows for more efficient network management by allowing the FortiWLC to be aware of its neighbors and APs throughout the environment. In addition to these features, a new REST API has been implemented on FortiWLC. Details on what’s available through this API can be
Le sujet des logs et leur intégrité peuvent devenir parfois complexes, ce petit article devrait donc vous être utile pour expliquer leur gestion et leur intégrité à vos clients :Sur le FortiAnalyzer, menu Log View > Log Browse, on peut voir les logs au format brut réceptionnés par le FortiAnalyzer.Menu FortiAnalyzer De ces logs bruts, le FortiAnalyzer constitue en supplément une base de données avec les différentes entrées des logs. Dès lors qu’un fichier de log atteint une taille limite, il est compressé-stocké puis le FortiAnalyzer recommence les logs sur un autre fichier. D'ailleurs les logs sont stockés dans des dossiers différents entre chaque device et/ou ADOM dans le système de fichier du FAZ.La répartition par dossier sur FortiAnalyzer Les archives crées sont alors les éléments exportables et exploitables par les autorités (Police, Gendarmerie, etc). Un super-user (au-delà de l’admin) ne peut pas supprimer 1 ligne de log en particulier, m
Après un RMA sur un équipement défectueux vous devez réaliser un transfert des services FortiCare et FortiGuard vers l'équipement de remplacement.La procédure est très simple et doit être réalisée depuis le site support https://support.fortinet.com/Suivre les étapes suivantes : Dans Asset, selectionnez "Manage/View Products" Recherchez le SN d'origine et cliquer dessus Sur la gauche allez dans "RMA Transfert" Saisir le SN de remplacement Dans la majorité des cas selectionnez "The product will be used by a non-government user" Cliquez sur "Replace" Les services sont désormais associés au nouveau boitier.
FortiPOC un outil pour déployer rapidement des architectures impliquant les solutions Fortinet. Pour faire simple, c’est une VM qui fait tourner d'autres VM. La solution est basée sur KVM, par conséquent si vous devez mettre à jour une VM Fortinet, vous devez télécharger le build KVM, idem pour les imports de configuration, attention à l'en-tête de la configuration. Vous pouvez utiliser des définitions de POC déjà existantes et développées par Fortinet ou créer votre propre POC. FortiPOC doit être revalidé avec un compte FNDN toutes les 2 semaines pour continuer à fonctionner. Si ce n’est pas encore fait inscrit toi sur le site : https://fndn.fortinet.net Et renseigner comme sponsor : lpeny@fortinet.com et apinon@fortinet.com Il est nécessaire de demander les différentes licences des produits Fortinet qui sont nécessaires à la bonne marche de la simulation POCs. Voici un QuickStart : https://fortinet.egnyte.com/dl/hc2NClRKRL Lien de téléchargement : fortipo
Si vous souhaitez tester les fonctionnalités de FortiMail, je vous encourage à utiliser FortiPoC (Infos disponibles ici) car il y a des poc prêt à l'usage qui permettent de tester FortiMail y compris les dernières nouveautés comme l'URL Click Protection et le Content Disarm and Reconstruction.Si vous avez votre propre lab avec un FortiMail, je vous conseil d'utiliser swaks (http://www.jetmore.org/john/code/swaks/) qui est un super outil pour forger des mails très facilement.J'ai crée un script qui permet d'automatiser l'envoi de plusieurs mails qui seront détectés par les moteurs du FortiMail (AS, AV, CDR, TOC, FSA, etc ...)Tout ce que vous aurez à faire c'est suivre les instructions indiquées dans le script : Installer wget et swaks sur votre machine. Modifier les droits du script pour autoriser son exécution (chmod 775 FML-Email-Gen.sh) Configurer correctement le FortiMail pour détecter les mails envoyés Renseigner les variables ci-dessous SRC_DOMAIN = Domaine de l'émeteur DEST_D
Vous souhaitez tester la FortiSandbox mais vous ne savez pas comment obtenir un fichier qui sera détecté comme malicieux ? Cet article est là pour vous donner les outils nécessaires.Nous avons un serveur web accessible publiquement qui permet de télécharger un sample qui sera systématiquement envoyé en émulation sur la FortiSandbox avec un verdict Suspicious - High Risk.Pour récupérer un sample, l'URL est la suivante : http://192.241.194.166/downloader/stringVous pouvez alors faire un upload manuellement sur la FortiSandbox pour vérifier le bon fonctionnement de celle-ci. Le fichier est bien détecté comme Suspicious - High Risk avec un rating effectué par le VM Engine donc après émulation. En changeant la string à chaque requête vous obtiendrez un sample avec un hash différent qui sera par conséquent de nouveau analysé par la FortiSandbox. Faire le test avec un FortiGate Il suffit de se connecter à l’adresse précédente au travers d'un FortiGate avec un profil Antivirus incluant la f
Cette matrice se trouve dans la dernière Fiche produit des services FortiGuard :
Quand est-ce que je dois enregistrer mes contrats de maintenance ? Que se passe t'il si j'oublie ? Est-ce le même fonctionnement avec un bundle ou un produit seul ? Comment se passe le renouvellement ? Ce sont des questions qui reviennent souvent, voici quelques explications. L'enregistrement Tous les produits et licences expédiés depuis le 1er Décembre 2015 ont la maintenance et le support qui débutent selon les conditions suivantes : Au moment de l'enregistrement du produit et de la licence sur le site https://support.fortinet.com A la connexion du produit et de la licence sur le site Fortinet pour récupérer les mises à jour Pour un bundle si aucune de ces actions n’intervient dans les 100 jours, le boîtier, les licences, les services et le support s’activeront automatiquement 100 jours après la date de départ des entrepôts de Fortinet chez le distributeur. Le renouvellement Pour les contrats de renouvellement de maintenance, de service et de Bundle, FORTINET a mis en place une
FortiCloud has had a Multi Tenancy license for a while now, but with 3.1.2 the capabilities provided by that license have increased dramatically. In previous releases a Multi Tenancy account allowed multiple sub accounts to be created but with no structure to make it easier to organise them. Release 3.1.2 provides a detailed tree structure which allows as many sub branches as you would like to create. For example consider the system shown below: in this view an admin can view all the AP networks or FortiGates associated with a single customer, in this case three such AP networks can be seen. If the same admin wants to look at all Enterprises then they select the checkbox at the top of the screen 'Including lower level' and then all enterprises under the heading will be included in the view: Each of the branches of the tree now show how many AP networks exist under that branch. It is possible to select all the AP networks as shown: FortiCloud users can be added at any point on
Du fait que sur O365 il y a beaucoup de domaines différents, Microsoft a décidé de ne plus répondre aux simples messages de vérification SMTP tels que les messages VRFY ou RCPT qui ne donnent pas d'informations sur qui l’interroge. Par conséquent, pour que la vérification fonctionne, elle doit être modifiée dans Fortimail en CLI afin de modifier la configuration par défaut de "mail-from" de NULL à une adresse électronique répondant à deux conditions: 1) AUCUNE boîte aux lettres n’existe dans O365 avec cette adresse. 2) Que le domaine EXISTE et soit votre propriété. Connectez-vous en CLI à votre Fortimail et configurez: config mailsetting smtp-recipient-verification set mail-from-addr mailcheck@domain.com end Où domain.com est votre domaine.On peut tester que cela fonctionne à travers TELNET, une sortie typique serait la suivante: REMARQUE: Si vous n'arrivez pas par SMTP, il peut y avoir un problème de communication, de pare-feu ou de non-activation pour cette adress
Lorsque vient le temps d’une mise à jour logicielle (firmware) sur un périphérique FortiGate, il est important de suivre le chemin de mise à jour recommandé, ou Upgrade Path, afin d’atteindre la version souhaitée. En suivant l’Upgrade Path, vous éviterez des problèmes durant la mise à jour de la configuration entre différentes versions. Ce « chemin » de mise à jour, ainsi que les release-notes de version à mettre à jour, sont disponibles sur le site Web support.fortinet.com Chemin exact : Download > Firmware Image > Upgrade Path De plus, les équipements affichent eux-mêmes, en plus des versions disponibles à mettre à jour, l’upgrade-path recommandé, afin que vous puissiez choisir de faire une mise à jour en suivant ce chemin, étape par étape, ou faire un upgrade direct :
Add-on Langage FortiGate - Notepad ++ Si vous utilisez notepad+++ pour éditer les fichiers de configuration FortiGate, vous pouvez utiliser le fichier "langue" disponible ici, il vous permettra d'éditer les fichiers de façon plus ordonnée, comme illustré ci-dessous.Cette image montre l'éditeur sans le plug-in "langage" lors de l'édition d'un fichier de configuration FortiGate : Avec le plug-in "langage", vous pouvez visualiser les différentes sections de manière plus ordonnée : Et il vous permet même de compresser l'affichage de certaines sections pour faciliter l'édition du fichier : Pour ajouter l'Add-on, aller dans "Langage > Definissez votre langage..." et cliquer sur Importer. Ouvrez le fichier de configuration FortiGate, et dans Langage choisissez "FortiGate" Enjoy :)
Dans certains cas d’architectures, si vous souhaitez inspecter les flux HTTPS vous ne pourrez pas effectuer de rupture protocolaire, et vous ne pourrez donc pas utiliser le CA FortiGate pour inspecter le trafic HTTPS. Néanmoins, on souhaite quand même pouvoir contrôler le trafic WEB. Ce que nous voulons surtout éviter, c'est l'apparition d'un avertissement dans le navigateur du client nous indiquant que le certificat est invalide. Pour cela, nous devons utiliser le certificate-inspection du profil SSL Inspection. Ce profil inspecte uniquement la partie publique du certificat de chaque page Web pour vérifier si ce domaine est autorisé dans le contrôle de navigation ou non. Dans la configuration présentée, nous allons créer une règle utilisant le profil défault du webfilter et le certificate-Inspection du profil d'inspection. Exemple: Le problème est que lorsqu'un utilisateur navigue sur une page Web non autorisée, l'erreur de certificat non valide suivante apparaît : Pourquoi? Si en thé
Already have an account? Login
No account yet? Create an account
Enter your E-mail address. We'll send you an e-mail with instructions to reset your password.