Fortinet liefert Updates: Admin-Cookie-Klau in FortiOS und FortiProxy möglich
In FortiOS und FortiProxy klaffen mehrere Sicherheitslücken. Unter anderem können Angreifer Admin-Cookies klauen und damit Zugriff erlangen.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
Fortinet hat drei Sicherheitswarnungen zu Schwachstellen in FortiOS und FortiProxy veröffentlicht. Die Spannweite der Auswirkungen reicht von unbefugten Zugriffen etwa mit Admin-Rechten hin zu Abfluss von sensiblen Informationen.
Von den Schwachstellen stufen Fortinets Entwickler eine als hochriskant und zwei als mittleres Risiko ein. Wenn Angreifer einen Administrator dazu verleiten, eine von ihnen kontrollierte Webseite über das SSL-VPN zu besuchen, können sie unter bestimmten – nicht konkret erläuterten – Umständen das Admin-Cookie klauen (CVE-2023-41677, CVSS 7.5, Risiko "hoch"). In der Folge können bösartige Akteure beliebigen Code oder Befehle auf verwundbaren Geräten ausführen, erläutert Fortinet in der Sicherheitsmeldung.
Drei Schwachstellen in FortiOS
Eine weitere Lücke in FortiOS betrifft die Kommandozeilen-Schnittstelle. Aufgrund einer sogenannten Format-String-Schwachstelle können lokale bösartige Akteure mit Super-Admin-Profil beliebigen Code oder Befehle mit speziell präparierten Anfragen ausführen (CVE-2023-48784, CVSS 6.1, mittel). Nicht authentifizierte Angreifer aus dem Netz können zudem mit HTTP-Anfragen die Geräteversion identifizieren (Fingerprinting). Das betrachten Fortinets Entwickler als Preisgabe sensibler Informationen (CVE-2024-23662, CVSS 5.0, mittel).
In den Versionen FortiOS 6.2.16, 6.4.15, 7.0.13, 7.2.7 und 7.4.2 sowie neueren ist die hochriskante Lücke geschlossen. Wer noch FortiOS 6.0 einsetzt, soll auf die neueren Fassungen aktualisieren. FortiProxy ist ab den Versionen 7.0.14, 7.2.8 und 7.4.2 nicht mehr anfällig. Wer FortiProxy 1.0, 1.1, 1.2 oder 2.0 einsetzt, muss ebenfalls auf die neueren Versionen upgraden. Die mittelschweren Lücken dichten FortiOS 7.2.8 sowie 7.4.2 und neuere ab; wer FortiOS 6.4 oder 7.0 einsetzt, soll auf die neueren Versionen umsteigen.
Gegen Cookie-Klau hat Google einen neuen Schutzmechanismus im Test. Durch Device Bound Session Credentials (DBSC), also fest an Geräte geknüpfte Session-Cookies, sollen gestohlene Cookies sich auf anderen Geräten nicht nutzen lassen. Das würde auch gegen die hochriskante FortiOS-Lücke helfen.
Vor rund einem Monat hatte Fortinet zuletzt teils kritische Sicherheitslücken unter anderem in FortiOS und FortiProxy geschlossen.
(dmk)
