Scripting-Attacken in Fortigate Firewall möglich
Das Web-Interface der Firewall filtert keinen Scripting-Code, den ein Angreifer in den Logs blockierter URLs verstecken kann.
Der Sicherheitsexperte Maarten Hartsuijker hat in der Firewall Fortigate mehrere Fehler im Web-Interface entdeckt. Beim Aufruf der Log-Files über das Interface filtert die Software nicht alle Zeichen aus. Fortigate speichert in den Logs auch geblockte URLs. Enthalten diese zusätzlich versteckten Scripting-Code als Anhang, kann der Browser des Administrators diesen ausführen, wenn dieser die Log-Files kontrolliert und Scripting aktiviert ist.
Platziert ein Angreifer manipulierte URLs in den Logs, kann er die Fortigate-Authentifizierungscookies stehlen und ohne eigene Anmeldung auf die Firewall zugreifen. Der Fehler ist in der Version 2.50MR4 behoben, als Workaround sollte die Remote-Administration nur fĂĽr Systeme erlaubt sein, deren IP-Adresse bekannt ist.
Siehe dazu auch: (dab)
- Security Advisory auf Bugtraq
- Angriffe auf Web-Clients mit Cross-Site- und Cross-Frame-Scripting auf heise Security
