Alert!

Fortinet schließt mehrere Sicherheitslücken in FortiOS und Co.

Das SSL-VPN-Webportal von FortiOS war über mehrere Wege angreifbar – aus der Ferne und teils ohne Authentifizierung. Der Hersteller rät zum Update.

Lesezeit: 3 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 4 Beiträge
Fortinet schließt mehrere Sicherheitslücken in FortiOS und Co.

(Bild: fortinet.com)

Von
  • Olivia von Westernhagen

Mehrere Versionen des Security-Network-Betriebssystems FortiOS, das auf FortiGate-Firewalls zum Einsatz kommt, weisen insgesamt sechs Sicherheitslücken auf, die das SSL-VPN-Webportal betreffen. Der Hersteller Fortinet hat Security Advisories mit Update-Hinweisen veröffentlicht. Hinzu kommt ein eher allgemein gehalteneres Advisory zu Gefahren durch Prozessorlücken wie ZombieLoad, das auch auf die Produkte FortiAP, FortiSwitch und FortiAnalyzer abzielt.

Nutzer sollten sich zeitnah mit den Hinweisen befassen und auf die empfohlenen Software-Versionen umsteigen.

Die gravierendsten Lücken (CVE-2018-13379 / Advisory FG-IR-18-384 und CVE-2018-13382 / Advisory FG-IR-18-389) hat Fortinet in seiner internen Risikoeinstufung mit vier von fünf Sternen bewertet. Beide lassen sich mittels speziell präparierter HTTP-Requests ausnutzen.

Laut Hersteller ermöglichen sie entfernten, nicht authentifizierten Angreifern das Herunterladen von Betriebssystemdateien (CVE-2018-13379) beziehungsweise das Ändern der Zugangsdaten von Webportal-Nutzern (CVE-2018-13382). Letztere Vermutung legt nahe, dass sie sich anschließend auch selbst mit den geänderten Daten im Portal anmelden können.

Welche FortiOS-Versionen jeweils betroffen sind und welche die Lücken schließen, ist den verlinkten Advisories zu entnehmen. Als temporärer Workaround können Nutzer laut Fortinet auch einfach das SSL-VPN-Webportal deaktivieren. Das funktioniere mit den folgenden Kommandozeilen-Befehlen:

config vpn ssl settings
unset source-interface
end

Vier weitere Lücken mit der Risiko-Bewertung drei von fünf Sternen hat Fortinet in drei Security Advisories zusammengefasst ( CVE-2017-14186 / Advisory FG-IR-17-242, CVE-2018-13380 / Advisory FG-IR-18-383, CVE-2019-5586 & CVE-2019-5588 / Advisory FG-IR-19-034). Sie betreffen ebenfalls das Webportal und ermöglichen Cross-Site-Scripting- und Redirect-Angriffe.

Auch in diesen Veröffentlichungen nennt der Hersteller sicherheitsanfällige und abgesicherte Versionen sowie den obigen Kommandozeilenbefehl als Workaround. Für ältere FortiOS-Versionen (bis einschließlich 5.0) gilt die folgende abgewandelte Version:

config vpn ssl settings
set sslvpn-enable disable
end

In einem sechsten Hinweis mit lediglich zwei von fünf Sternen in der Risikoeinschätzung empfiehlt Fortinet seinen Kunden, auf aktuelle Versionen verschiedener Fortinet-Produkte umzusteigen, um das Angriffsrisiko via Sepctre, Meltdown, ZombieLoad und Co. zu reduzieren.

Konkret rät der Hersteller zum

  • FortiOS-Upgrade auf mindestens 5.6.3 / 6.0.0
  • FortiAP-Upgrade auf mindestens 5.6.5 / 6.0.2
  • FortiSwitch-Upgrade auf mindestens 3.6.3 / 4.0.0 sowie zum
  • FortiAnalyzer-Upgrade auf mindetens 5.6.6 / 6.0.2.

Fortinet schreibt im Advisory, dass die genannten Produkte/Geräte (Intel-)Prozessoren nutzen, die grundsätzlich anfällig für die Angriffe seien. Allerdings erfordere ein Angriff jeweils den "Umweg" über weitere, davon unabhängige Sicherheitslücken. Eine konkrete Bedrohung besteht derzeit wohl nicht.

Mehr zum Thema:

(ovw)