[English]Der Sicherheitsanbieter Fortinet hat Patches freigegeben, die die Schwachstellen CVE-2019-17659 und CVE-2019-16153 im eigenen SIEM-Produkt FortiSIEM schließen. Die Patches sollen jeweils eine Backdoor in SSH und in der Datenbank des Produkts schließen, die durch Bugs aufgerissen wurde.
Anzeige
So ganz spontan ging mit 'ich mag nicht mehr' durch den Kopf, als ich die Nacht den folgenden Tweet von Catalin Cimpanu gelesen habe.
Fortinet removes SSH and database backdoors from its SIEM producthttps://t.co/nXmd1WgRhD pic.twitter.com/wiSbiW8MCT
— Catalin Cimpanu (@campuscodi) January 27, 2020
Nur zur Einordnung für Blog-Leser, die nicht im Thema sind. SIEM ist das Kürzel für Security Information and Event Management, eigentlich eine sinnvolle Sache. Die verlinkte Wikipedia schreibt dazu: SIEM kombiniert die zwei Konzepte Security Information Management (SIM) und Security Event Management (SEM) für die Echtzeitanalyse von Sicherheitsalarmen aus den Quellen Anwendungen und Netzwerkkomponenten. SIEM dient damit der Computersicherheit einer Organisation und ist ein Softwareprodukt, das zentral installiert oder als Cloudservice genutzt werden kann. Dumm ist nur, wenn ein SIEM-Produkt selbst Schwachstellen hat, die es angreifbar machen.
CVE-2019-17659 und CVE-2019-16153 in FortiSIEM
Bei den Schwachstellen CVE-2019-17659 und CVE-2019-16153 handelt es sich um Probleme, die die Sicherheit der FortiSIEM-Lösung gefährden.
SSH-Schwachstelle CVE-2019-17659
Am 15. Januar 2020 hat Fortinet den Sicherheitshinweis FortiSIEM default SSH key for the "tunneluser" account is the same across all appliances veröffentlich. FortiSIEM ist bis zur Version 5.2.6 für Denial of Service-Angriffe anfällig.
Die Verwendung eines hartcodierten kryptographischen Schlüssels in FortiSIEM erzeugt quasi eine Backdoor und kann es einem entfernten, nicht authentifizierten Angreifer ermöglichen, SSH-Zugriff auf den Supervisor als "Tunnelbenutzer" eines eingeschränkten Benutzers zu erhalten. Der Angreifer kann dazu die Kenntnis des privaten Schlüssels aus einer anderen Installation oder einem Firmware-Image nutzen.
Fortinet weist die Nutzer an, ein Upgrade auf FortiSIEM Version 5.2.7 und höher durchzuführen, da dieses Problem dort gelöst ist. Für Benutzer von FortiSIEM Version 5.2.6 und niedriger hat der Hersteller einen Workaround in dem oben verlinkten Sicherheitshinweis veröffentlicht, der zeigt, wie sich diese Versionen gegen einen solchen Angriff absichern lassen.
Unternehmen, die FortiSIEM-Produkte einsetzen, sollten ihre Server zusätzlich auf unbefugten Zugriff untersuchen. Denn es gab ein Problem in der E-Mail-Kommunikation zwischen Fortinet und dem entdeckenden Sicherheitsforscher Klaus, wie ZDNet hier schreibt. Der Forscher veröffentlichte am 3. Januar 2020, zwölf Tage vor der Veröffentlichung eines Patches durch Fortinet, Einzelheiten zu dieser Schwachstelle. Dadurch könnten Angriffe stattgefunden haben.
Datenbank-Schwachstelle CVE-2019-16153
Es gibt noch eine zweite Schwachstelle CVE-2019-16153 in der von FortiSIEM verwendeten Datenbank, die ebenfalls wie eine Backdoor ausgenutzt werden kann. Daher hat Fortinet bereits am 12. Januar 2020 den Sicherheitshinweis FortiSIEM Database hard-coded Credentials veröffentlicht.
Anzeige
Hintergrund: Es gibt ein fest kodiertes Passwort zum Zugriff auf die verwendete Datenbank. Diese hartcodierte Passwort-Schwachstelle in der FortiSIEM-Datenbankkomponente kann Angreifern über statische Zugangsdaten den Zugriff auf die Gerätedatenbank ermöglichen. Dort könnte sich ein Angreifer umfassend über die per SIEM-Lösung verwalteten Geräte informieren. Betroffen ist FortiSIEM bis zur Version 5.2.5. Der Hersteller empfiehlt das Upgrade auf FortiSIEM 5.2.6 oder höher.
Weitere Details lassen sich ggf. im ZDNet-Artikel nachlesen. Abschließend die Frage: Sind Blog-Leser hier mit Fortinet-Software unterwegs und sind solche Informationen für euch relevant? Wenn es niemanden tangiert, spare ich mir künftig die Artikel zu Fortinet-Schwachstellen.
2015
Danke für die Info und ja .. für mich sehr interresant .. Danke