Fortinet bestätigt kritische angegriffene Sicherheitslücke in Fortimanager

Fortinet hat eine Sicherheitsmitteilung zu einer kritischen Sicherheitslücke in Fortimanager veröffentlicht. Es handelt sich um die Sicherheitslücke, die die Anfang der Woche bekannt gewordenen Aktualisierungen für Fortimanager abdichten. Sie werden bereits von Cyberkriminellen im Internet angegriffen, warnt nun auch die US-amerikanische Cybersicherheitsbehörde CISA, die die Lücke in den Known-Exploited-Vulnerabilities-Katalog aufgenommen hat.

Fortinet als registrierte CVE Numbering Authority (CNA) hat einen CVE-Eintrag für die Sicherheitslücke angelegt und veröffentlicht, CVE-2024-47575, mit einem CVSS-Wert von 9.8 als kritisches Risiko eingestuft. "Eine fehlende Authentifizierung in einer kritischen Funktion in Fortimanager [...] ermöglicht Angreifern, beliebigen Code oder beliebige Befehle mittels sorgsam präparierter Anfragen auszuführen", beschreibt der Hersteller die Sicherheitslücke.

Fortinet liefert Details zur Lücke

Das CERT-Bund des BSI stuft die Sicherheitslücke abweichend sogar als maximal kritisch ein, mit einem CVSS-Wert von 10.0. Die Fortinet-Entwickler haben derweil einige Informationen zur Schwachstelle in einer Sicherheitsmitteilung gesammelt. Dort präzisiert das Unternehmen, dass die fehlende Authentifizierung den fgfmd-Daemon betreffen. Laut einer Erläuterung vom IT-Sicherheitsforscher Kevin Beaumont dient der Dienst dazu, FortiGate-Appliances im FortiManager zu registrieren.

Er sieht weitere Fehler in der Implementierung: Standardmäßig können sich beliebige Geräte, auch solche mit unbekannter Seriennummer, am FortiManager registrieren und zum verwalteten Gerät werden. Lediglich ein gültiges Zertifikat muss ein Client vorweisen, wobei ein beliebiges einer FortiGate-Appliance genutzt werden kann, was keine echte Hürde darstelle. Nach der Registrierung kommt eine Schwachstelle auf dem FortiManager selbst zum Tragen, die Angreifern das Ausführen beliebigen Codes erlaubt, über die "gefälschte" FortiGate-Verbindung. Da der FortiManager weitere FortiGate-Firewalls verwaltet, können Angreifer auf diese zugreifen, Konfigurationen einsehen, verändern oder Zugangsdaten übernehmen. Beaumont ergänzt, dass Managed Service Provides oftmals FortiManager einsetzen und Angreifer so in Netzwerke derer Kunden eindringen können.

FortiGate nennt die vollständige Liste mit korrigierten Softwareversionen: FortiManager 7.6.1, 7.4.5, 7.2.8, 7.0.13, 6.4.15 sowie 6.2.13; für FortiManager Cloud stehen 7.4.5, 7.2.8 sowie 7.0.13 bereit. Natürlich korrigieren auch neuere Firmware-Stände das Problem. Wer FortiManager Cloud 6.4 einsetzt, muss auf eines der neueren Releases migrieren. Die alten FortiAnalyzer-Modelle 1000E, 1000F, 2000E, 3000E, 3000F, 3000G, 3500E, 3500F, 3500G, 3700F, 3700G und 3900E sind ebenfalls anfällig, sofern folgende Option aktiviert ist:

config system global
set fmg-status enable
end

Für die IT-Verantwortlichen, die noch keine Aktualisierung vornehmen können, nennt Fortinet zudem temporäre Gegenmaßnahmen, um die Auswirkungen der Sicherheitslücken einzudämmen. Fortinet nennt zudem Indicators of Compromise, anhand derer Admins erkennen können, ob ihre Geräte angegriffen wurden. Beamont nennt in seiner Übersicht ebenfalls IP-Adressen, von denen Kontaktversuche auf die FGFM-Ports 541 (IPv4) oder 542 (IPv6) von FortiGate- und FortiManager-Appliances auf Angriffsversuche hindeuten.

Lesen Sie auch

FortiManager: Update dichtet offenbar attackiertes Sicherheitsleck ab

Bereits am Dienstag wurden die bereitstehenden Aktualisierungen für die Fortimanager-Lösungen bekannt. Dort allerdings ohne Details dazu, was die neuen Fassungen korrigieren. In sozialen Netzen im Internet verdichteten sich jedoch bereits die Hinweise, dass es sich um eine bereits in freier Wildbahn angegriffene Sicherheitslücke handelt.

(dmk)