Fortinet dichtet mehrere Lücken ab, Angriffe auf FortiVoice beobachtet

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

In diversen Produkten von Fortinet schlummern Sicherheitslücken, für die das Unternehmen nun Updates zum Schließen anbietet. EIne Sicherheitslücke in FortiVoice wird bereits in freier Wildbahn angegriffen. Admins sollten die Aktualisierungen daher zügig installieren.

Die schwerwiegendste Sicherheitslücke betrifft FortiCamera, FortiMail, FortiNDR, FortiRecorder und FortiVoice. Angreifer können mit manipulierten HTTP-Anfragen einen Stack-basierten Pufferüberlauf provozieren, der zur Ausführung von beliebigen Code oder Befehlen führt. Derartige Angriffe hat Fortinet der Sicherheitsmitteilung zufolge bereits auf FortiVoice-Geräte beobachtet.

Bei den Angriffen haben die bösartigen Akteure zunächst das Geräte-Netzwerk gescannt, anschließend System-Absturzberichte gelöscht und "fcgi-Debugging" aktiviert, um Zugangsdaten des Systems oder von SSH-Log-in-Versuchen mitzuprotokollieren. Am Ende der Sicherheitsmitteilung nennt Fortinet einige Hinweise, die auf Angriffe hindeuten (Indicators of Compromise, IOCs).

Fehlerbereinigte Versionen

Fortinet stellt Updates bereits, die die Lücke schließen. Allerdings müssen einige ältere Versionen auf eine unterstützte Version aktualisiert werden. Das Sicherheitsleck stopfen FortiCamera 2.1.4, FortiMAil 7.6.3, 7.4.5, 7.2.8 und 7.0.9, FortiNDR 7.4.8, 7.2.5 und 7.0.7, FortiRecorder 7.2.4, 7.0.6 und 6.4.6 sowie FortiVoice 7.2.1, 7.0.7 und 6.4.11 oder jeweils neuere.

Fortinet hat am Dienstag noch weitere aktuelle Sicherheitsmitteilungen zu diversen Produkten veröffentlicht. Admins sollten schauen, ob die von ihnen eingesetzten Fortinet-Appliances und -Systeme betroffen sind und gegebenenfalls die bereitstehenden Updates installieren:

• TACACS+ authentication Bypass, CVE-2025-22252, CVSS 9.0, Risiko "kritisch"
• Local privilege escalation in XPC Services, CVE-2025-25251, CVSS 7.4, Risiko "hoch"
• Path traversal in upload message, CVE-2025-22859, CVSS 5.0, Risiko "mittel"
• Denial of Service in Security Fabric Root, CVE-2025-47294, CVSS 4.8, Risiko "mittel"
• Index of FCT installation directory publicly accessible, CVE-2025-24473, CVSS 4.8, Risiko "mittel"
• Buffer over-read in FGFM, CVE-2025-47295, CVSS 3.4, Risiko "niedrig"
• Code Execution due to Node.JS Environment Variable, CVE-2024-35281, CVSS 2.3, Risiko "niedrig"
• Insertion of sensitive information into system log, CVE-2025-46777, CVSS 2.2, Risiko "niedrig"
• Unauthorized modification of global threat Feeds, CVE-2024-54020, CVSS 2.1, Risiko "niedrig"

Mitte April hatte Fortinet davon berichtet, wie sich Angreifer in Firewalls des Herstellers einnisten und Persistenz erreichen. Zu dem Zeitpunkt haben IT-Sicherheitsforscher global mehr als 14.000 kompromittierte Fortinet-Firewalls aufgespürt.

(dmk)