Proof-of-Concept-Exploits für kritische FortiSIEM-Lücken: Jetzt patchen!
IT-Sicherheitsforscher haben für kritische Sicherheitslücken in FortiSIEM Proof-of-Concept-Exploits veröffentlicht. Höchste Zeit, die Updates zu installieren.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
Als kritisch eingestufte Sicherheitslücken klaffen in Fortinets FortiSIEM Sicherheitsplattform, Updates stehen seit Oktober vergangenen Jahres sowie seit Ende Januar dieses Jahres bereit. IT-Sicherheitsforscher von horizon3.ai haben jetzt Proof-of-Concept-Exploits veröffentlicht, die den Missbrauch der Lücken demonstrieren. Allerhöchste Eisenbahn für IT-Verwalter, die Updates jetzt herunterzuladen und anzuwenden.
In der zugehörigen Sicherheitsmitteilung schreibt Fortinet, dass mehrere unzureichende Filterungen spezieller Elemente, die in einem Befehl an das Betriebssystem genutzt werden, die Schwachstelle aufreißen. Mit manipulierten API-Anfragen können nicht authentifizierte Angreifer so unbefugt Befehle im FortiSIEM Supervisor ausführen (CVE-2023-34992, CVE-2024-23108, CVE-2024-23109; CVSS 9.7, Risiko "kritisch").
Erste Fehlerkorrektur unzureichend
Die Aktualisierungen aus dem Oktober 2023 waren offenbar unzureichend, Fortinets Entwickler mussten Ende Januar noch zwei weitere, ähnliche Sicherheitslücken ausbessern. Die IT-Forscher von horizon3.ai haben kürzlich einen Proof-of-Concept-Exploit veröffentlicht für die Lücke aus dem Oktober, der vorführt, die sich beim Ausnutzen des Lecks Befehle einschleusen und als root-Benutzer ausführen lassen.
Für die später nachgelegten Schwachstellen haben die IT-Forensiker ebenfalls einen Proof-of-Concept-Exploit herausgegeben. Für Cyberkriminelle gibt es nun also Blaupausen, anhand derer sie ihre Werkzeugkästen für Angriffe aufrüsten können – und das erfahrungsgemäß auch machen. Daher sollten Admins spätestens jetzt die zur Verfügung stehenden Updates installieren.
Auf Mastodon schreibt der IT-Sicherheitsexperte Will Dormann etwas hämisch, dass die Exploits für die alte und die später geflickten Sicherheitslöcher sich lediglich in der Positionierung eines Semikolons in der Argument-Reihenfolge unterscheiden. Die Erwartung an ein großes IT-Sicherheitsunternehmen wie Fortinet ist, dass die Entwickler den umliegenden Code zu einer Sicherheitslücke auf weitere gleichartige Fehler prüfen, was offenbar nicht umgehend geschehen ist.
Vor zwei Wochen hatte Fortinet mehrere Lücken geschlossen. Darunter war eine hochriskante Schwachstelle in FortiWebManager und weitere in FortiPortal, FortiSandbox und FortiSOAR.
(dmk)