Der Firewallhersteller Fortinet warnt seine Kunden vor einer Sicherheitslücke in FortiOS und FortiProxy, die aus der Ferne ausnutzbar ist. Wer die bereitgestellten Updates nicht einspielen kann, sollte den Zugriff auf das Admin-Interface zusätzlich einschränken.
Wie das Internet Storm Center
Laut Fortinet sind nicht alle Versionen von FortiOS und FortiProxy betroffen. FortiOS zwischen Version 7.0.0 und 7.0.6 sowie 7.2.0 und 7.2.1 ist angreifbar, ebenso FortiProxy zwischen 7.0.0 und 7.0.6 sowie Version 7.2.0. Ältere Versionen enthalten die Lücke nicht.
Fortinet veröffentlicht Updates in der Regel monatlich im Rahmen eines Patchdays. So hatte Fortinet
Wer ein Fortinet-Produkt administriert, sollte den Oktober-Patchday jedoch nicht abwarten. Die Sicherheitslücke ist in FortiOS 7.0.7, 7.2.2, in FortiProxy 7.0.7 und 7.2.1 und in allen neueren Versionen behoben. Ist ein Update kurzfristig nicht möglich, so können Admins einen Workaround einspielen, den Fortinet seinen zahlenden Kunden im Support-Dokument CSB-221006-1 beschreibt.
Quelle: heise
Authentifizierung lässt sich umgehen
In Firewalls und Proxies der Firma Fortinet versteckt sich ein schwerer Security-Bug, den Angreifer aus der Ferne missbrauchen können. Die mit der CVE-ID CVE-2022-40684 versehene Lücke erlaubt es, die Authentifizierung auf dem Admin-Interface der betroffenen Produkte zu umgehen. Mittels speziell präparierter HTTP(S)-Anfragen können dann Aktionen ausgeführt werden, die eigentlich dem Administrator vorbehalten sind. Fortinet stuft die Sicherheitslücke als kritisch ein und vergibt einen CVSS-Score von 9.6/10.Wie das Internet Storm Center
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
schreibt, hat Fortinet zunächst seine Kunden in einer als vertraulich eingestuften Mitteilung auf die Sicherheitslücke aufmerksam gemacht – das Advisory landete jedoch umgehend in den sozialen Netzwerken.Laut Fortinet sind nicht alle Versionen von FortiOS und FortiProxy betroffen. FortiOS zwischen Version 7.0.0 und 7.0.6 sowie 7.2.0 und 7.2.1 ist angreifbar, ebenso FortiProxy zwischen 7.0.0 und 7.0.6 sowie Version 7.2.0. Ältere Versionen enthalten die Lücke nicht.
Fortinet veröffentlicht Updates in der Regel monatlich im Rahmen eines Patchdays. So hatte Fortinet
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
behoben.Wer ein Fortinet-Produkt administriert, sollte den Oktober-Patchday jedoch nicht abwarten. Die Sicherheitslücke ist in FortiOS 7.0.7, 7.2.2, in FortiProxy 7.0.7 und 7.2.1 und in allen neueren Versionen behoben. Ist ein Update kurzfristig nicht möglich, so können Admins einen Workaround einspielen, den Fortinet seinen zahlenden Kunden im Support-Dokument CSB-221006-1 beschreibt.
Quelle: heise
