Patchday: Fortinet schließt kritische und hochriskante Lücken
Am April-Patchday liefert Fortinet für zahlreiche Produkte Sicherheitsupdates aus. Eine der damit geschlossenen Lücken stuft der Hersteller als kritisch ein.
Am April-Patchday des Netzwerkausstatters Fortinet beheben die Entwickler mit Softwareupdates eine kritische und mehrere hochriskant eingeschätzte sicherheitsrelevante Fehler in der Geräte-Software. Insgesamt 21 Schwachstellen bessern sie mit den Aktualisierungen aus.
Fortinet: Kritische Sicherheitslücke
Im FortiPresence Infrastructure Server können sich nicht authentifizierte Angreifer aus dem Netz mit manipulierten Authentifizierungsanfragen Zugriff auf Redis- und MongoDB-Datenbanken verschaffen (CVE-2022-41331, CVSS 9.3, Risiko "kritisch"). Das Update auf FortiPresence 2.0.0 oder neuer von den betroffenen Fassungen 1.0, 1.1 und 1.2 soll das Problem beheben.
Neun der geschlossenen Schwachstellen tragen als Risikoeinstufung die Bewertung "hoch". Die schwerwiegendsten betreffen FortiOS und FortiProxy und ermöglichen nicht authentifizierten Angreifern Cross-Site-Scripting-Attacken auf das Administrator-Interface mit manipulierten HTTP- oder HTTPS-Anfragen (CVE-2022-41330, CVSS 8.3, hoch). In FortiSandbox und FortiDeceptor können angemeldete Angreifer aus dem Netz aufgrund von Fehlern im Rechtemanagement mit manipulierten HTTP- oder HTTPS-Anfragen nicht autorisierte API-Aufrufe starten (CVE-2022-27487, CVSS 8.3, hoch).
Die weiteren hochriskanten Lücken betreffen FortiWeb, FortiClient (Windows), FortiSOAR, FortiADC und FortiDDoS sowie FortiDDoS-F, den Linux-Kernel von FortiAuthenticator, FortiProxy und FortiSIEM. Etwas weniger schwerwiegend stufen Fortinets Entwickler Schwachstellen in FortiClient (Mac), FortiManager, FortiAnalyzer und FortiGate ein. Einige Produkte enthalten mehrere Lücken von unterschiedlicher Bedrohung. In der Auflistung haben wir sie nur einmal mit dem jeweils höchsten Schweregrad berücksichtigt.
Weitere Details und Links auf die einzelnen Sicherheitsmeldungen, die teils auch Workarounds erläutern, liefert die Patchday-Übersicht von Fortinet. Da eine Lücke kritisch und mehrere hochriskant sind, sollten IT-Verantwortliche die bereitstehenden Aktualisierungen zügig anwenden.
Am März-Patchday haben Fortinets Programmierer 15 Sicherheitslücken gestopft. Auch da wurde eine als kritisches Risiko eingestuft.
(dmk)
