Sicherheitsupdate: Fake-Admin könnte FortiWeb Appliances kompromittieren
Fortinet schlieĂźt eine SicherheitslĂĽcke im FortiWeb Manager. Das Angriffsrisiko gilt als hoch.
Im Konfigurationstool FortiWeb Manager fĂĽr FortiWeb Appliances klafft eine Schwachstelle. Fortinet stellt ein Sicherheitsupdate bereit. Nutzt ein Angreifer die LĂĽcke aus, kann er sich zum Admin machen und Web Application Firewalls (WAF) ĂĽbernehmen, warnt der Hersteller.
Das Einfallstor ist eine unzureichende Passwortüberprüfung. Angreifer sollen aus der Ferne mit Zugriff auf die Anmeldeseite von FortiWeb Manager ohne Authentifizierung durch die Eingabe von beliebigen Zeichen in das Passwortfeld Admin-Rechte bekommen können.
Davon soll Fortinet zufolge aber ausschlieĂźlich die Version 5.8.0 bedroht sein. Ausgabe 5.8.1 ist abgesichert. Das Notfallteam des BSI CERT Bund stuft das Angriffsrisiko als "hoch" ein. (des)
