Kritische SicherheitslĂĽcke in Fortinet-Firewalls erlaubt Admin-Zugriff
Angreifer können die Authentifizierung bei Fortinet-Firewalls umgehen und Aktionen als Admin ausführen – die wahren Admins sollten zügig patchen.
Der Firewallhersteller Fortinet warnt seine Kunden vor einer Sicherheitslücke in FortiOS und FortiProxy, die aus der Ferne ausnutzbar ist. Wer die bereitgestellten Updates nicht einspielen kann, sollte den Zugriff auf das Admin-Interface zusätzlich einschränken.
Authentifizierung lässt sich umgehen
In Firewalls und Proxies der Firma Fortinet versteckt sich ein schwerer Security-Bug, den Angreifer aus der Ferne missbrauchen können. Die mit der CVE-ID CVE-2022-40684 versehene Lücke erlaubt es, die Authentifizierung auf dem Admin-Interface der betroffenen Produkte zu umgehen. Mittels speziell präparierter HTTP(S)-Anfragen können dann Aktionen ausgeführt werden, die eigentlich dem Administrator vorbehalten sind. Fortinet stuft die Sicherheitslücke als kritisch ein und vergibt einen CVSS-Score von 9.6/10.
Wie das Internet Storm Center in seiner Warnmeldung schreibt, hat Fortinet zunächst seine Kunden in einer als vertraulich eingestuften Mitteilung auf die Sicherheitslücke aufmerksam gemacht – das Advisory landete jedoch umgehend in den sozialen Netzwerken.
Laut Fortinet sind nicht alle Versionen von FortiOS und FortiProxy betroffen. FortiOS zwischen Version 7.0.0 und 7.0.6 sowie 7.2.0 und 7.2.1 ist angreifbar, ebenso FortiProxy zwischen 7.0.0 und 7.0.6 sowie Version 7.2.0. Ă„ltere Versionen enthalten die LĂĽcke nicht.
Fortinet veröffentlicht Updates in der Regel monatlich im Rahmen eines Patchdays. So hatte Fortinet im Juli mehrere Sicherheitslücken behoben.
Wer ein Fortinet-Produkt administriert, sollte den Oktober-Patchday jedoch nicht abwarten. Die Sicherheitslücke ist in FortiOS 7.0.7, 7.2.2, in FortiProxy 7.0.7 und 7.2.1 und in allen neueren Versionen behoben. Ist ein Update kurzfristig nicht möglich, so können Admins einen Workaround einspielen, den Fortinet seinen zahlenden Kunden im Support-Dokument CSB-221006-1 beschreibt.
Mittlerweile hat Fortinet ein eigenes Security-Advisory veröffentlicht, das Indicators of Compromise und eine detaillierte Anleitung für einen Workaround enthält. Darin erwähnt der Hersteller auch, dass die Sicherheitslücke inzwischen aktiv angegriffen wird. Neben den oben erwähnten Produkten ist zudem auch FortiSwitchManager in Version 7.0.0 und 7.2.0 betroffen.
(tiw)