Fortinet: Wichtiges Sicherheitsupdate fĂĽr FortiWeb OS in Vorbereitung
FĂĽr eine LĂĽcke mit High-Einstufung liegt Exploit-Code vor, Fixes kommen aber erst Ende August. Betreiber von FortiWeb WAFs sollten VorsichtsmaĂźnahmen treffen.
Unternehmen, die die Web Application Firewall (WAF) FortiWeb nutzen, sollten das webbasierte Management-Interface nur vertrauenswürdigen Quellen zugänglich machen und vor allem dafür sorgen, dass es nicht über das Internet erreichbar ist. Diese – generell sehr gute – Empfehlung ist derzeit besonders wichtig, da FortiWeb OS in allen Versionen bis einschließlich 6.3.11 eine aus der Ferne ausnutzbare Sicherheitslücke aufweist.
Die Lücke soll Ende August mit Fortiweb OS 6.4.1 geschlossen werden. Dass ihre Entdecker bereits Exploit-Code veröffentlicht haben, macht das zügige Einspielen des Updates umso dringlicher.
Angriff setzt Authentifizierung voraus
Der Sicherheitslücke, die von Forschern der Firma Rapid7 entdeckt wurde, wurde bislang noch keine CVE-ID zugewiesen. Der CVSS-Score lautet 8.7 ("High"). Es handelt sich um eine Möglichkeit der Command Injection auf der SAML Server Konfigurations-Site des Web Interfaces.
Angreifer könnten – Interface-Zugriff und erfolgreiches Einloggen mit normalen Benutzerrechten vorausgesetzt – unter Verwendung einer bestimmten Syntax Befehle in ein Feld des Konfigurationsbereichs "schmuggeln" und an den Server übermitteln. Diese würden dann mit Root-, also höchstmöglichen Rechten ausgeführt. Den Exploit-Vorgang erläutert ein Blogeintrag von Rapid7 sehr detailliert anhand eines Beispiels.
Streit um "Responsible" Disclosure
Einer Timeline im Blogeintrag zufolge hat Rapid7 Fortinet am 10. Juni über die Sicherheitslücke informiert; die Veröffentlichung des Blogeintrags nebst Exploit-Code erfolgte dann am 17. August. Gegenüber ZDNet sagte ein Sprecher von Fortinet, dass man von einem Zeitfenster von 90 Tagen ausgegangen sei, in welchem das Unternehmen die Gelegenheit habe, einen Patch zu entwickeln, bevor Details veröffentlicht würden.
Tatsächlich sind 90 Tage ein gängiger Rahmen für den Responsible-Disclosure-Prozess, der etwa von Googles Project Zero gewährt wird. Bei der Zero Day Initiative (ZDI) sind es gar 120 Tage. Und auch Fortinets eigenes Forscherteam lässt anderen Firmen laut seiner Disclosure Policy 90 Tage Zeit für das Bereitstellen von Updates für ihre Produkte.
Fortinet arbeite nun mit Hochdruck an der abgesicherten FortiWeb OS-Version. In der Zwischenzeit sollten Nutzer das Management-Interface wie eingangs beschrieben absichern (mit Zugriff nur aus dem internen Netzwerk oder etwa VPN) und Fortinets PSIRT-Advisories fĂĽr weitere Informationen im Auge behalten.
Update 19.08.21, 9:48: Fortinet hat jetzt ein Advisory veröffentlicht, das detailliertere Angaben zu den betroffenen FortiWeb OS sowie zu den geplanten Updates enthält:
(ovw)