Jetzt patchen! Über 335.000 SSL-VPN-Interfaces von Fortinet attackierbar

Derzeit nehmen Angreifer die SSL-VPN-Komponente in Netzwerkgeräten von Fortinet mit FortiOS ins Visier. Sicherheitsforscher warnen nun vor einer möglichen Ausweitung der Attacken. Angriffe sollen mit vergleichsweise wenig Aufwand möglich sein.

Videos by heise

mehr Videos

• c't 3003
• heise & ct
• Peertube

Jetzt patchen!

In einem Beitrag führen Sicherheitsforscher von Bishopfox aus, dass sie Exploitcode entwickelt haben; im Internet kursieren ebenfalls Demos, wie sich die Lücke ausnutzen lässt. Damit können Netzwerkadmins Systeme auf Verwundbarkeit prüfen; Angreifer können den Code aber auch für Attacken missbrauchen. Der Exploit der Forscher löst in sekundenschnelle einen Speicherfehler aus, baut Kontakt zu einem Server auf, lädt eine BusyBox-Binary herunter und richtet eine interaktive Shell ein.

Im Zuge der Entwicklung sind die Forscher eigenen Angaben zufolge auf 490.000 über das Internet erreichbare SSL-VPN-Interfaces gestoßen. Davon sollen rund 335.000 Systeme noch nicht gepatcht sein. Den Forschern zufolge haben viele Geräte seit acht Jahren keine Updates mehr bekommen. Auf einigen läuft noch FortiOS 6.0, für das im vergangenen Jahr im September der Support eingestellt wurde.

Da die Interfaces öffentlich erreichbar sind, ist das für Angreifer ein leichtes Spiel. Admins sollten die seit Juni 2023 verfügbaren Sicherheitspatches also umgehend installieren. Zu diesem Zeitpunkt sprach Fortinet von einer „begrenzten Zahl“ von Attacken. In einer Warnmeldung listet der Hersteller die gegen die Attacken abgesicherten FortiOS-Versionen auf.

Schadcode-Lücke

Die „kritische“ Lücke (CVE-2023-27997) betrifft das Netzwerkbetriebssystem FortiOS. Aufgrund der Schwachstelle setzen Angreifer ohne Authentifizierung mit präparierten Anfragen an der SSL-VPN-Komponente an und lösen einen Speicherfehler aus. Darüber schieben sie dann Schadcode auf Systeme und führen ihn aus. Im Anschluss gelten Geräte als vollständig kompromittiert.

(des)