Kritische Sicherheitslücke in FortiClientEMS wird angegriffen
Eine kritische Schwachstelle in FortiClientEMS wird inzwischen aktiv angegriffen. Zudem ist ein Proof-of-Concept-Exploit öffentlich geworden.
Eine als kritisches Risiko eingestufte Schwachstelle in FortiClientEMS wird inzwischen in freier Wildbahn angegriffen, teilt Hersteller Fortinet mit. Zudem ist ein Proof-of-Concept-Exploit für die Sicherheitslücke öffentlich, was weitere Angriffe wahrscheinlich macht.
Informationen über die Sicherheitslücke hatte Fortinet am Mittwoch vergangener Woche öffentlich gemacht. Die Lücke wurde beschrieben als unzureichende Filterung von bestimmten Elementen in einem SQL-Befehl, was Angreifern ermöglicht, eine SQL-Injection-Attacke auszuführen. Durch sorgsam präparierte Anfragen können nicht authentifizierte Angreifer ohne Autorisierung Code oder Befehle ausführen (CVE-2023-48788, CVSS 9.3, kritisch).
Fortinet: Sicherheitsmitteilung aktualisiert
Die Sicherheitsmitteilung von Fortinet haben die Entwickler zwischenzeitlich aktualisiert. Dort steht nun zu lesen, dass die Schwachstelle in freier Wildbahn missbraucht wird ("This vulnerability is exploited in the wild"). IT-Verantwortliche, die bislang noch mit der Aktualisierung gewartet haben, sollten daher jetzt zügig den virtuellen Patch "FG-VD-54509.0day:FortiClientEMS.DAS.SQL.Injection" aus dem FMWP-Datenbank-Update 27.750 herunterladen und anwenden.
Am Donnerstag dieser Woche haben zudem IT-Sicherheitsforscher von horizon.ai einen Proof-of-Concept-Exploit veröffentlicht, der das Ausnutzen der Sicherheitslücke demonstriert. Solcher Code ermöglicht auch Cyberkriminellen, ihre Angriffs-Werkzeugkisten damit aufzurüsten. Weitere Angriffe auf die Sicherheitslücke werden damit wahrscheinlicher.
Angriffe auf Sicherheitslücken in derartiger Software, die das Einbrechen oder Einnisten in Netzwerke von Organisationen ermöglichen, sind an der Tagesordnung. Daher ist es wichtig, dass IT-Verantwortliche verfügbare Aktualisierungen so schnell wie möglich installieren. Manchmal lassen sich Angreifer auch Monate Zeit, bis sie eine Schwachstelle in ihr Repertoire aufnehmen und attackieren – so etwa kürzlich geschehen bei einer Windows-Lücke, für die es bereits über ein halbes Jahr lang ein Update gab, die sie schloss. Dem stehen natürlich Risiken gegenüber, dass die Updates Funktionen stören, wie die März-Updates von Microsoft auf Windows-Servern. Hier helfen etwa vorab in kleinerem Netz auszuführende Tests, um gröbste Fehler vorab zu erkennen.
(dmk)
