Sicherheitsupdates: SSL-VPN-Komponente von FortiOS angreifbar
Wichtige Sicherheitspatches schließen kritische Lücken in FortiOS und FortiSIEM. Admins sollten zügig handeln.
(Bild: Photon photo/Shutterstock.com)
Derzeit attackieren Angreifer Appliances mit FortiOS. Durch die Sicherheitslücke schlüpft Schadcode. Außerdem können Attacken auf FortiSIEM bevorstehen. Dagegen abgesicherte Versionen stehen zum Download bereit.
Schadcode-Attacken
In einem Beitrag warnt Fortinet, dass Angreifer derzeit an einer "kritischen" Schwachstelle (CVE-2024-21762) in der SSL-VPN-Komponente von FortiOS ansetzen. Das Betriebssystem bildet die Basis für unter anderem Firewalls. Durch das Versenden von präparierten HTTP-Anfragen schieben entfernte Angreifer ohne Authentifizierung Schadcode auf Systeme und kompromittieren sie.
Die Entwickler geben an, dass FortiOS 7.6 davon nicht betroffen ist. Für FortiOS 6.0 gibt es keine Sicherheitsupdates mehr; an dieser Stelle ist ein Upgrade nötig. Die folgenden Ausgaben sind gegen die Attacke abgesichert:
- 6.2.16
- 6.4.15
- 7.0.14
- 7.2.7
- 7.4.3
In welchem Umfang die Angriffe ablaufen, ist zurzeit nicht bekannt. Wenn Admins die Updates nicht direkt installieren können, schützt das Deaktivieren der SSL-VPN-Komponente Systeme temporär, bis der Patch installiert ist.
Noch mehr Lücken
Zwei "kritische" Schwachstellen (CVE-2024-23108, CVE-2024-23109) bedrohen die IT-Sicherheitslösung FortiSIEM. An diesen Stellen können Angreifer mit speziellen API-Anfragen ansetzen, um eigene Befehle auszuführen. Die folgenden Versionen enthalten Sicherheitspatches:
- 6.4.4
- 6.5.3
- 6.6.5
- 7.2.0
- 6.7.9
- 7.0.3
- 7.1.2
Fortinet hat die beiden Lücken in ein Advisory aus Oktober 2023 hinzugefügt. Der Grund dafür ist der identische Angriffsvektor. Attacken soll es aktuell nicht geben. Dennoch sollten Admins die für sie relevanten Sicherheitsupdates zeitnah installieren.
Die Sicherheitsupdates schließen noch eine zweite kritische Schadcode-Lücke (CVE-2024-23313), die der CISA zufolge aber noch nicht ausngenutzt wird.
(des)
