Fortinet Wireless Manager: Informationen zu kritischer Lücke zurückgehalten

Admins, die Netzwerke mit Fortinet Wireless Manager (FortiWLM) verwalten, sollten sicherstellen, dass ihre Instanzen aktuell und somit gegen mögliche Attacken abgesichert sind. Ein Sicherheitsforscher von Horizon3 hat bereits im Mai 2023 eine Sicherheitslücke an Fortinet gemeldet. Der Sicherheitspatch erschien dann im September 2023. Doch Informationen, dass es den Patch und die Lücke überhaupt gibt, sind erst jetzt bekanntgeworden.

Die Gefahr

In einem Beitrag aus März dieses Jahres schreibt der Sicherheitsforscher unter anderem über die "kritische" Lücke (CVE-2023-34990). Zu diesem Zeitpunkt gab es aber noch keine CVE-Nummer.

Weil Eingaben nicht ausreichend überprüft werden, können Angreifer ohne Authentifizierung mit bestimmten Anfragen an der Schwachstelle ansetzen. Klappt so eine Attacke, sind Logs einsehbar, die Admin-Session-IDs enthalten können. Damit ausgestattet sind Angreifer in der Lage, die volle Kontrolle über Geräte zu erlangen.

Die vergessene Lücke

In einer Warnmeldung gibt Fortinet nun an, dass davon die Versionen 8.5.0 bis einschließlich 8.5.4 und 8.6.0 bis einschließlich 8.6.5 bedroht sind. Sie versichern, die im September 2023 erschienenen Ausgaben 8.5.5 und 8.6.6 abgesichert zu haben.

Warum Fortinet so lange über die Schwachstelle geschwiegen hat, ist derzeit nicht bekannt. Vor dem Hintergrund, dass FortiWLM ein lohnendes Ziel für Angreifer ist, um Netzwerke von Unternehmen zu kompromittieren, mutet die späte Kommunikation grob fahrlässig an. Schließlich könnten Admins aufgrund einer in der Vergangenheit fehlenden Warnung durch das Unternehmen noch verwundbare Versionen einsetzen. Ob es bereits Attacken gegeben hat, ist unklar. Fortinet gibt Admins auch keine Informationen, wie sie bereits erfolgte Angriffe erkennen können.

(des)