Fortinet-Patchday: Updates gegen kritische Schwachstellen
Fortinet hat zum März-Patchday Sicherheitslücken in FortiOS, FortiProxy, FortiClientEMS und im FortiManager öffentlich gemacht.
Fortinet dokumentiert einige kritische Sicherheitslücken am März-Patchday. Updates stehen demnach für mehrere verwundbare Produkte bereit. Da Fortinet-Appliances beliebtes Ziel von bösartigen Akteuren aus dem Netz sind, sollten IT-Verantwortliche die Aktualisierungen zügig herunterladen und anwenden.
In FortiOS und FortiProxy klaffen gleich mehrere Sicherheitslücken. Sie erlauben Angreifern aus dem Netz, beliebigen Code im Captive-Portal auszuführen oder darin Befehle mittels manipulierter HTTP-Anfragen einzuschleusen (CVE-2023-42789, CVE-2023-42790, CVSS 9.3, Risiko "kritisch"). Im SSL-VPN von FortiOS und FortiProxy können authentifizierte Angreifer Zugriff auf Lesezeichen anderer Nutzerinnen und Nutzer erlangen, indem sie die URL manipulieren (CVE-2024-23112, CVSS 7.2, hoch).
Fortinet: Weitere kritische Lücken
In FortiClientEMS ermöglicht eine unzureichende Filterung von bestimmten Elementen in einem SQL-Befehl Angreifern, eine SQL-Injection-Attacke auszuführen. Durch sorgsam präparierte Anfragen können nicht authentifizierte Angreifer ohne Autorisierung Code oder Befehle ausführen (CVE-2023-48788, CVSS 9.3, kritisch). Außerdem können bösartige, nicht authentifizierte Akteure aus dem Netz in FortiClientEMS aufgrund unzureichender Filterung bei der Verarbeitung von CSV-Dateien in der Admin-Workstation beliebige Befehle ausführen. Derartige manipulierte Anfragen können in bösartigen Log-Einträgen münden (CVE-2023-47534, CVSS 8.7, hoch).
Auch im FortiManager können nicht angemeldete Angreifer aus dem Netz mittels speziell präparierter Anfragen Schadcode oder Befehle einschleusen und ausführen. Das geht auf eine unzureichende Zugriffskontrolle in FortiWLM MEA zurück (CVE-2023-36554, CVSS 7.7, hoch). FortiWLM MEA wird standardmäßig nicht mitinstalliert und lässt sich als temporäre Gegenmaßnahme einfach deaktivieren.
Die Lücken schließen FortiOS 7.4.2, 7.2.7, 7.0.14, 6.4.15, 6.2.16 sowie FortiProxy 7.4.3, 7.2.9, 7.0.15 und 2.0.14. Die Versionen 7.2.3 und 7.0.11 und neuere von FortiClientEMS bessern die Schwachstellen darin aus. Wer noch die alten Versionen aus den Entwicklungszweigen 6.4, 6.2 oder 6.0 einsetzt, muss zum Stopfen der Lecks auf die neueren 7er-Fassungen migrieren. FortiManager ist in den Fassungen 7.4.1, 7.2.4, 7.0.11 sowie 6.4.14 oder neuer nicht mehr verwundbar.
Die konkreten Sicherheitsmeldungen von Fortinet enthalten auch weitergehende Informationen, etwa wie sich Sicherheitslücken gegebenenfalls durch Konfigurationsänderungen temporär schließen lassen:
- FortiOS & FortiProxy - Out-of-bounds Write in captive portal
- FortiOS & FortiProxy – Authorization bypass in SSLVPN bookmarks
- Pervasive SQL injection in DAS component (FortiClientEMS)
- FortiClientEMS - CSV injection in log download feature
- FortiWLM MEA for FortiManager - improper access control in backup and restore features
Im Februar hatte Fortinet bereits Sicherheitslücken etwa im SSLVPN von FortiOS geschlossen. Angreifer hatten sie Lücken bereits ausgenutzt, um Schadcode einzuschleusen.
Anders als Hersteller wie Microsoft, Apple und Google veröffentlicht Fortinet seine Patches nicht gesammelt sondern asynchron. Zum sogenannten Patchday erscheinen lediglich die Security Advisories, die dokumentieren, was da genau gefixt wurde. So veröffentlichte Fortinet das Update gegen das "out of bounds write" bereits am 27. Februar, das zugehörige PSIRT-Advisory datiert jedoch auf den 12. März. Wir haben fehlerhafte Angaben zum Veröffentlichungszeitpunkt der Patches im Artikel korrigiert.
(dmk)
