FortiNet flickt schwere Sicherheitslücken in FortiOS und anderen Produkten
Neben FortiOS und FortiClient sind auch FortiSIEM, FortiWLM und weitere von zum Teil kritischen Security-Fehlern betroffen. Admins sollten patchen.
Der Software- und Appliancehersteller Fortinet behebt Sicherheitslücken in mehreren seiner Produkte. Unter den Fehlern befinden sich neben SQL-Injections auch Möglichkeiten für Angreifer, beliebige Kommandos auf Appliances des kalifornischen Unternehmens auszuführen. Fortinet stellt für alle betroffenen Produkte Updates bereit und empfiehlt Administratoren, diese zu installieren.
Mehrere Sicherheitslücken in FortiOS und FortiProxy
In FortiOS, dem Firewall-Betriebssystem der Kalifornier, klaffen mehrere Lücken – darunter eine, die Fortinet nicht selbst zu verantworten hat: Die kürzlich medienwirksam bekannt gegebenen Bugs in cURL betreffen auch die KVM-basierten VM-Images der Firewall. Um die Sicherheitslücken auszunutzen, ist jedoch eine Authentifizierung erforderlich. FortiNet vergibt in seinem Sicherheitshinweis keine neue CVE-Kennung, sondern übernimmt die ursprüngliche CVE-ID CVE-2023-38545. Die CVSSv3-Punktzahl ist mit 8.1/10 jedoch etwas niedriger als durch das cURL-Projekt vorgegeben; auch der Schweregrad ist lediglich "hoch". Die Versionen 7.4.0 bis 7.4.1, 7.2.0 bis 7.2.6 und 7.0.1 bis 7.0.13 der Imagedateien FortiGate-FGT_VM64_KVM sind angreifbar, Aktualisierungen mit den Versionsnummern 7.4.2 und 7.2.7 stehen zum Download bereit.
Zwei weitere Lücken mittleren Schweregrads finden sich in FortiOS sowie FortiProxy. Dank ungenügender Integritätsprüfung können Angreifer, die auf einer FortiOS- oder FortiProxy-VM Admin-Rechte erlangt haben, ein manipuliertes Disk-Image booten (CVE-2023-28002, CVSSv3 5.8/10) und mittels spezieller HTTP-Requests können sie zudem einen Denial of Service im SSL-VPN derselben Produkte auslösen (CVE-2023-36641, CVSSv3 6.2/10). Für beide Sicherheitsprobleme gilt: Wer FortiProxy in einer früheren Version als 7 einsetzt, sollte zunächst den Versionssprung auf diese Version wagen; auch Nutzer von FortiOS 6 sollten sich mit einem Update auf Version 7 anfreunden. Die Sicherheitsprobleme sind sodann in FortiOS 7.4.1, 7.2.6 und 7.0.13 sowie in FortiProxy 7.2.5 und 7.0.11 behoben.
DLL-Übernahme und Dateilöschung
Der FortiClient – eine Windows-Software, die neben Malware-Schutz und VPN auch die Konformität eines Endgeräts mit den Unternehmensrichtlinien sicherstellt – weist zwei Schwachstellen auf, die zum einen Angreifern mittels DLL-Hijacking erlauben, der Software eigene Bibliotheken unterzuschieben (CVE-2023-41840, Schweregrad "hoch", CVSSv3 7.4/10) und es ihnen zum anderen ermöglichen, beliebige Dateien auf dem Endgerät zu löschen (CVE-2022-40681, Schweregrad "hoch", CVSSv3 7.9/10). Beide Probleme hat Fortinet behoben und bietet Betroffenen ein Hilfsmittel an, um den korrekten Update-Pfad für ihre Ausgabe des FortiClient zu ermitteln.
Im hauseigenen FortiSIEM (Security and Incident Event Management) entdeckte ein Mitarbeiter des Fortinet-Sicherheitsteams eine Sicherheitslücke, die die Ausführung beliebiger Befehle ermöglichte. Ein ähnliches Problem in der FortiSIEM-Weboberfläche hatte ein externer Sicherheitsforscher bereits im Oktober gemeldet, die neue Variante bezieht sich nun jedoch auf API-Anfragen. Fortinet bewertet den Fehler (CVE-2023-36553) als kritisch (CVSSv3 9.3/10) und empfiehlt Administratoren ein Update. Alle Versionen zwischen 4.7 und 5.4 sind betroffen – eine Aktualisierung auf die bereinigten Ausgaben ab 6.4.3 sorgt für Abhilfe.
In FortiWLM, einer Hardware- oder VM-Appliance zur Verwaltung von WLANs, hat Fortinet gleich zwei Fehler behoben, die der Sicherheitsforscher Zach Hanley an den Hersteller gemeldet hatte. Eine als kritisch (CVE-2023-34991, CVSSve 9.3/10) eingestufte SQL-Injection-Lücke erlaubt Angreifern, ohne vorherige Anmeldung SQL-Abfragen auf der Datenbank auszführen und mittels geschickter Manipulation eines Pfades in einem HTTP-Parameter können sie beliebige Dateien auf dem FortiWLM-System auslesen (CVE-2023-42783, CVSSv3 7.3/10, Schweregrad "hoch"). Die aktualisierten Versionen 8.5.5 respektive 8.6.6 beheben beide Sicherheitsprobleme.
Rechteausweitung und andere Angriffe
Die Automatisierungsfunktionen von FortiADC enthalten etwas mehr Automatisierung als beabsichtigt: Mittels eines speziell konstruierten Automatisierungsskript können Angreifer mit niedrigen Privilegien diese ausweiten und Befehle mit den Rechten des super_admin ausführen. Fortinet stuft das Risiko dieses Bugs als "hoch" ein, vergibt 7.9 von 10 CVSSv3-Punkten und die CVE-ID CVE-2023-26205.
In den Kommandozeilentools für FortiADC und FortiDDoS-F findet sich zudem ein Pufferüberlauf mittleren Schweregrads (CVE-2023-29177, CVSSv3 6.2/10) und eine zu durchlässige Cross-Domain Policy im API, die die Ausweitung von Privilegien sowie das Abgreifen geschützter Informationen durch nicht angemeldete Angreifer begünstigt (CVE-2023-25603, CVSSv3 5.4, "mittel"). Bei der Auswahl der korrekten, fehlerbereinigten Version hilft auch in diesen Fällen das oben bereits erwähnte Upgrade-Tool.
(cku)
