Löchrige TLS-Verbindungen: Fortinet stopft acht Jahre alte Project-Mogul-Lücke in FortiOS

Der Firewall-Hersteller Fortinet hat mehrere Sicherheitslücken in seinem Appliance-Betriebssystem FortiOS gestopft. Neben einer Lücke, über die Angreifer auf den Geräten per Cross-Site-Scripting (XSS) Schindluder treiben können, behebt das Sicherheitsupdate auch ein Problem mit SSL/TLS-Verbindungen, über die Angreifer beliebige Daten in eine solche Verbindung einschleusen können, ohne den eigentlichen Inhalt zu entschlüsseln. Diese Sicherheitslücke in TLS ist seit mindestens acht Jahren unter dem Namen Project Mogul und der CVE-Identifikationsnummer CVE-2009-3555 bekannt.

Ein Angreifer kann Fehler in SSL 3.0 und mehreren TLS-Versionen missbrauchen, bei denen bei einer Neuaushandlung einer Verbindung unter Umständen der Bezug zwischen alter und neuer Verbindung verloren geht. Dadurch kann ein Man-in-the-Middle dann Daten in die neue Verbindung einschleusen; allerdings ohne die zuvor übermittelten Daten entschlüsseln zu können. Andere Hersteller hatten damals ebenfalls mehrere Monate oder Jahre gebraucht, das Problem anzugehen – so hatte etwa Oracle die Lücke in einigen seiner Produkte Mitte 2011 gestopft. Das Update von Fortinet soll ein Missbrauch der TLS-Lücke verhindern, wenn sowohl der Client als auch der FortiOS-Server eine sichere Neuaushandlung der Verbindung unterstützen.

Update auf abgesicherte FortiOS-Versionen

FortiOS ist betroffen, da die Entwickler anscheinend Fehler bei der SSL-Deep-Inspection-Funktion des Betriebssystems gemacht haben. Diese ist dazu da, SSL/TLS-Verbindungen aufzubrechen, um Angriffe auf die Systeme hinter der Firewall aufzuspüren. FortiOS 5.6.0, 5.4.0 bis 5.4.5 und aller Versionen bis 5.2 enthalten diese Schwachstelle. Laut dem Hersteller sollten Administratoren betroffene Systeme auf FortiOS 5.4.6 oder 5.6.1 aktualisieren.

Die XSS-Lücke betrifft FortiOS 5.6.0, 5.4.0 bis 5.4.5 und 5.2.0 bis 5.2.11. Hier empfiehlt sich laut Hersteller ein Update auf FortiOS 5.2.12, 5.4.6 oder 5.6.1. (fab)