Sicherheitsupdates: FortiGuard-Kommunikation in die Cloud belauschbar

Die in FortiClientMac, FortiClientWindows und FortiOS integrierte Überwachungssoftware FortiGuard von Fortinet ist angreifbar. So könnten Angreifer mit vergleichsweise wenig Aufwand den Datenaustausch von FortiGuard mit einigen Fortinet-Servern belauschen. Sicherheitspatches schaffen Abhilfe.

Das Problem ist, dass die Kommunikation mit den Servern via XOR mit einem statischen Schlüssel codiert wird. Demzufolge könnten sich Angreifer, die den Schlüssel kennen, als Man-in-the-Middle in die Verbinung einklinken und den Nachrichtenaustausch mit FortiGuard AntiSpam, AntiVirus und Web Filter entschlüsseln. Wie einer Warnmeldung von Fortinet zu entnehmen ist, gilt der Bedrohungsgrad der Schwachstelle (CVE-2019-9195) als "mittel".

Klappt eine Attacke, könnten Angreifer Infos über die in einem Unternehmen zum Einsatz kommenden Sicherheitsprodukte von Fortinet bekommen. Außerdem ist es so möglich, dass Angreifer das Surfverhalten mitschneiden könnten, führen die Entdecker der Schwachstelle von SEC Consult in einem Bericht aus. Auch eine Manipulation der Server-Antworten sei vorstellbar.

Sicherheitsupdates

Abgesichert sind die Versionen FortiClientMac 6.2.2, FortiClientWindows 6.2.0 und FortiOS 6.0.7 und 6.2.0. Alle vorigen Ausgaben sollen verwundbar sein. Einen alternativen Workaround zur Absicherung gibt es derzeit nicht. Admins müssen also die reparierten Versionen installieren.

Eigenen Angaben zufolge haben die Sicherheitsforscher Fortinet bereits im Mai 2018 über die Schwachstelle unterrichtet. Im März, April und November 2019 haben sich die Entwickler dann software- und serverseitig um das Sicherheitsproblem gekümmert.

[UPDATE, 27.11.2019 13:30 Uhr]

Fortinet hat die betroffenen Versionen ergänzt: Die Schwachstelle findet sich in den Ausgaben jeweils bis einschließlich: 6.0.6, 6.0.7 und 6.2.1. (des)