Fortinet-Patchday: Mehrere kritische Lücken geschlossen
Nachdem am Wochenende eine kritische Sicherheitslücke in Fortinet-Produkten bekannt wurde, hat das Unternehmen nun weitere Updates bereitgestellt.
(Bild: Shutterstock/chanpipat)
Der IT-Sicherheitsdienstleister Fortinet hat Software-Aktualisierungen veröffentlicht, mit denen er teils kritische Sicherheitslücken in den Produkten schließt. IT-Verantwortliche sollten nicht zögern, die Aktualisierungen herunterzuladen und anzuwenden.
Bekannte und neue Sicherheitslücken
Bereits am Wochenende wurde eine kritische, zu dem Zeitpunkt aktiv angegriffene Sicherheitslücke in Fortinet-Firewalls bekannt, durch die Angreifer die Authentifizierung umgehen und Aktionen als Administrator ausführen konnten – ergo die Systeme vollständig kompromittieren (CVE-ID CVE-2022-40684, CVSS 9.6, Risiko "kritisch"). Aufgrund von mehreren nicht ausreichenden Filterungen von übergebenen Daten in einem Betriebssystem-Befehl in den Konsolen-, Telnet- sowie SSH-Log-in-Komponenten von FortiTester könnten Angreifer beliebige Befehle in der unterliegenden Shell ausführen – betroffene Versionen und Updates führt die Sicherheitsmeldung von Fortinet auf (CVE-2022-33873, CVSS 9.6, kritisch).
Außerdem funktioniert der Failban-Mechanismus bei Brute-Force-Angriffen auf Telnet in den FortiTestern nicht richtig, wodurch Angreifer ungebremst Passwörter austesten und so Zugangsdaten erraten können (CVE-2022-35846, CVSS 7.7, hoch). Angemeldete Nutzer könnten beim Zertifikat-Import Befehle einschleusen, da FortiTester übergebene Daten, die an einen Kommandozeilenbefehl durchgereicht werden, nicht korrekt ausfiltern (CVE-2022-35844, CVSS 6.5, mittel).
Videos by heise
Im Betriebssystem FortiOS könnten Angreifer ihre Rechte ausweiten und Befehle mit erhöhten Privilegien auf angebundenen FortiSwitches ausführen. Ursächlich sind ungenügende Filterungen von übergebenen Daten bei Diagnose-Kommandozeilenbefehlen (CVE-2021-44171, CVSS 8.8, hoch). Aufgrund eines Zugriffs auf einen Null-Pointer könnten nicht authentifizierte Angreifer mit sorgsam präparierten HTTP-Get-Anfragen an das SSL-VPN-Portal von FortiOS und FortiProxy den sslvpn-Dienst zum Absturz bringen (CVE-2022-29055, CVSS 7.3, hoch). Eine letzte Fehlermeldung betrifft FortiAnalyzer und FortiManager, in denen nicht angemeldete Angreifer aus dem Netz unbefugt auf Berichts-Templates zugreifen könnten (CVE-2022-26121, CVSS 3.4, niedrig).
Für die Schwachstellen stehen aktualisierte Softwarepakete bereit, die die Fehler ausbügeln. Fortinet-Administratoren sollten prüfen, ob ihre Geräte und Software-Stände von den Sicherheitslücken betroffen sind und die Updates rasch herunterladen und installieren.
(dmk)
