Sicherheitsupdate: Fake-Admin könnte FortiWeb Appliances kompromittieren
Fortinet schließt eine Sicherheitslücke im FortiWeb Manager. Das Angriffsrisiko gilt als hoch.
Im Konfigurationstool FortiWeb Manager für FortiWeb Appliances klafft eine Schwachstelle. Fortinet stellt ein Sicherheitsupdate bereit. Nutzt ein Angreifer die Lücke aus, kann er sich zum Admin machen und Web Application Firewalls (WAF) übernehmen, warnt der Hersteller.
Das Einfallstor ist eine unzureichende Passwortüberprüfung. Angreifer sollen aus der Ferne mit Zugriff auf die Anmeldeseite von FortiWeb Manager ohne Authentifizierung durch die Eingabe von beliebigen Zeichen in das Passwortfeld Admin-Rechte bekommen können.
Davon soll Fortinet zufolge aber ausschließlich die Version 5.8.0 bedroht sein. Ausgabe 5.8.1 ist abgesichert. Das Notfallteam des BSI CERT Bund stuft das Angriffsrisiko als "hoch" ein. (des)
