Patchday: Fortinet dichtet 15 Schwachstellen ab, davon eine kritische
Der Patchday bei Fortinet bringt IT-Verantwortlichen Updates zum Schließen von 15 Sicherheitslücken. Eine davon ist kritisch und erlaubt Einschleusen von Code.
Fortinet dichtet am März-Patchday 15 Sicherheitslücken in den Netzwerkprodukten des Unternehmens ab. Davon gilt den Entwicklern eine sogar als kritisch. IT-Verantwortliche sollten die Updates zeitnah herunterladen und installieren. Neben der kritischen Sicherheitslücke stufen Fortinets Entwickler fünf Schwachstellen als hohes Risiko, acht als mittlere Bedrohung und eine Lücke als niedrigen Bedrohungsgrad ein. Zahlreiche Produkte und Versionen sind betroffen.
Fortinet: Kritische Lücke in FortiOS und FortiProxy
Angreifer aus dem Netz könnten ohne vorherige Authentifizierung beliebigen Code auf verwundbaren Geräten ausführen. Auch ein Denial-of-Service (DoS) gegen die Benutzeroberfläche ist möglich. Dazu genügen speziell präparierte Anfragen. In der Sicherheitsmeldung weist Fortinet darauf hin, dass eine ganze Reihe aufgelisteter Geräte lediglich für die DoS-Attacke anfällig seien (CVE-2023-25610, CVSS 9.3, Risiko "kritisch"). Die aktualisierten Software-Versionen ohne die Fehler in den unterschiedlichen Betriebssystem-Zweigen lauten FortiOS 7.4.0 (bislang offenbar noch im Beta-Status), 7.2.4, 7.0.10, 6.4.12 und 6.2.13, FortiProxy 7.2.3, 7.0.9 und 2.0.12 sowie FortiOS-6K7K 7.0.10, 6.4.12 und 6.2.13. Temporäre Gegenmaßnahmen erläutert das Unternehmen ebenfalls in der Meldung.
Die hochriskanten Sicherheitslücken finden sich in FortiNAC (CVE-2022-39953, CVSS 7.8, hoch; CVE-2022-40676, CVSS 7.1, hoch), FortiOS und FortiProxy (CVE-2022-42476, CVSS 7.8, hoch), FortiSOAR (CVE-2023-25605, CVSS 7.5, hoch) und FortiWeb (CVE-2022-39951, CVSS 7.2, hoch). Mittleres Risiko stellen Schwachstellen in FortiRecorder (CVE-2022-41333, CVSS 6.8, mittel), FortiOS (CVE-2022-41328, CVSS 6.5, mittel), FortiOS und FortiProxy (CVE-2022-45861, CVSS 6.4, mittel; CVE-2022-41329, CVSS 5.2, mittel), FortiWeb und FortiRecorder (CVE-2022-22297, CVSS 5.2, mittel), FortiAnalyzer, FortiManager, FortiPortal sowie FortiSwitch (CVE-2022-27490, CVSS 5.1, mittel) und in FortiAnalyzer (CVE-2023-23776, CVSS 4.6, mittel; CVE-2023-25611, CVSS 4.0, mittel) dar. Die als niedriges Risiko eingestufte Lücke findet sich in FortiAuthenticator, FortiDeceptor und FortiMail (CVE-2022-29056, CVSS 3.5, niedrig).
Patchday-Übersicht
Auf der PSIRT-Webseite von Fortinet listet der Hersteller die einzelnen Sicherheitsmeldungen zu den Schwachstellen auf. Dort finden sich auch Details zu den betroffenen Software-Versionen und teils Workarounds zum Einschränken der Gefahr durch die Lüclen, sollte eine Aktualisierung nicht umgehend möglich sein.
Zum Februar-Patchday hatte Fortinet sogar 40 Sicherheitslücken schließen müssen. Davon galten sogar zwei als kritisch. Für eine davon hatte die IT-Sicherheitsfirma Horizon3 einen PoC-Exploit veröffentlicht. Da Schwachstellen in den weit verbreiteten Netzwerkprodukten von Fortinet in der Regel schnell von Cyberkriminellen angegriffen werden, sollten IT-Verantwortliche die Aktualisierungen zum Schließen der Lücken zügig anwenden.
(dmk)
