Sicherheitsforscher finden beim Nachstellen einer Lücke drei neue

"Manchmal hat man kein Glück und dann kommt auch noch Pech dazu", dieses geflügelte Wort aus der Fußballwelt dürfte den Entwicklern von Fortinet derzeit auf der Zunge liegen. In ihrem FortiManager, einer Verwaltungssoftware für FortiGate-Appliances, tauchten in den vergangenen Monaten immer wieder schwere Sicherheitslücken auf. Nun haben Sicherheitsforscher drei weitere entdeckt – ohne sie zu suchen.

WTF

Das Internet ist voll von heißen IT-News und abgestandenem Pr0n. Dazwischen finden sich auch immer wieder Perlen, die zu schade sind für /dev/null.

• Mehr WTF-Meldungen

Eine besonders heikle Sicherheitslücke namens "FortiJump" wurde vor wenigen Wochen veröffentlicht und schlug hohe Wellen, unter anderem in mehreren heise-Meldungen und einem empörten Jürgen Schmidt: "Zu den technischen Fehlern gesellt sich ein haarsträubendes Kommunikationsverhalten. Über Tage hinweg rätselten Sicherheitsforscher und auch Fortigate-Kunden, was es mit den Updates und den Gerüchten über aktive Angriffe auf FortiManager auf sich haben könnte", barmte der Gründer von heise security im Newsletter des Fachdienstes heise security PRO. Die Google-Tochter Mandiant konstatierte bereits am 24. Oktober eine massenhafte Ausnutzung, veranstaltete Webinare zum Thema und veröffentlichte "Indicators of Compromise" für die Suche nach Angreifern.

Die Sicherheitsexperten von Watchtowr Labs wollten den genannten Exploit (CVE-2024-47575) nun lediglich in einer kontrollierten Laborumgebung nachstellen. Doch ein ruhiger Experimentiernachmittag war ihnen nicht vergönnt, stattdessen sprang den überraschten Exploit-Testern eine weitere schwere Lücke ins Auge. Und – wer da hat, dem wird gegeben – zwei triviale Crashbugs gab's als Gratisbeigabe obendrein.

Der unterhaltsame und mit reichlich Meme-Material angereicherte Blogeintrag "Hop-Skip-FortiJump-FortiJump-Higher" des Watchtowr-Teams liest sich wie eine Abrechnung mit haarsträubend schlechten Sicherheitspraktiken bei einem Anbieter von Sicherheitsappliances: "Die niedrige Komplexität der Sicherheitslücken wirft die grundsätzliche Frage nach der FortiManager-Codequalität auf", konstatierten die Autoren und entschlossen sich zu dem ungewöhnlichen Schritt, die neu entdeckte Sicherheitslücke zu veröffentlichen, bevor sie von Fortinet gepatcht wurde.

Hochsprung auf Appliances

Die neue Lücke "FortiJump Higher" erlaubt Angreifern, die einen Zugang zu einer FortiGate-Appliance erlangt haben, zur zuständigen FortiManager-Instanz zu springen und diese zu übernehmen. Der Fehler ist, so Watchtowr, "mit scharfem Hinsehen" im FortiManager-Quellcode zu finden. Ein APT kann also zunächst eine noch ungepatchte Firewall übernehmen, von da aus das zentrale Management kapern und dann bequem alle anderen Fortinet-Geräte unter seine Kontrolle bringen.

Wohlgemerkt – und hier merkt man dem Autor dieser Zeilen sein ungläubiges Erstaunen womöglich an – handelt es sich bei Fortinet-Geräten durchweg um solche, die die Sicherheit im Netz erhöhen sollen. Das und nur das ist ihre Aufgabe. Da ist es tief verunsichernd für Kunden, ein derart vernichtendes Urteil über die Sicherheitspraxis des Herstellers zu lesen.

Und das ist noch nicht zuende gesprochen: Bei der Suche nach der ursprünglichen "FortiJump"-Lücke stellten die Quellcode-Detektive nämlich fest, dass Fortinet diese womöglich "an der falschen Stelle, in der falschen Datei, in einer komplett anderen Bibliothek" repariert hatte. Das müsse einem nicht vollkommen dummen Angreifer auffallen, vermuteten sie, sobald dieser die "magische Spaghetti-Lösung" im Inneren des FortiManager untersuche. Und es werfe (rhetorische) Fragen auf: Etwa die, wie Fortinet die Reparatur der Lücke getestet habe. Ob sie zuvor lediglich Glückstreffer gelandet hätten. Und: Ob so echte IT-Sicherheit aussehe.

Unsicherheits-Appliances?

Das muss sich Fortinet tatsächlich fragen lassen. Wie kann es sein, dass Sicherheitsforscher am laufenden Band Lücken in denjenigen Appliances finden, die das dahinterliegende Netz schützen und dessen Wartung vereinfachen sollen? Der Hersteller sollte schleunigst mit transparenten Informationen um die Ecke kommen, sonst geht Kundenvertrauen unwiederbringlich verloren.

Und nicht nur bei Fortinet brennt es an allen Ecken und Enden, auch Palo Alto Expedition, ein ähnliches Werkzeug zur Konfiguration von Appliances, hat kritische Lücken und wird kurzerhand ganz abgeschafft, weil es offenbar nicht zu retten ist. Sophos hingegen installiert Backdoors auf den Geräten der eigenen Kunden und Ivanti ist sowieso Dauergast in der "Alert"-Rubrik unseres Newstickers.

Man möchte der Empfehlung des Watchtowr-Teams folgen und in eine Papiertüte schreien.

(cku)