Fortinet Sicherheitsupdates entfernen hardcodierte Schlüssel

Publiziert am 11. Juni 2022 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)Fortinet hat eine Reihe Sicherheitsupdates für seine Netzwerk-Sicherheitsprodukte (u.a. FortiAuthenticator, FortiClient und FortiDDoS) freigegeben. Angreifer könnten etwa aufgrund eines hartcodierten Schlüssels JSON Web Tokens (JWT) signieren oder unter Windows Dateien mit Systemrechten schreiben. Eine Liste an Updates findet sich bei den Kollegen von heise.

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit, Update abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

6 Antworten zu Fortinet Sicherheitsupdates entfernen hardcodierte Schlüssel

  1. Wil Ballerstedt sagt:
    11. Juni 2022 um 08:55 Uhr

    "Hardcodierte" Schlüssel via Software entfernen? Helft mir: Diese "harten" Schlüssel wurden also nicht verdrahtet, sondern befinden sich einige Etagen tiefer im System???

    Antworten
    • Dorian sagt:
      11. Juni 2022 um 11:17 Uhr

      Klassische Backdoor vom/beim Hersteller eingebaut, erwischt worden oder Backdoor anderweitig bekannt/genutzt worden, Entfernen dieser Backdoor aus der Software.

      In jedem Netzwerk/IoT Gerät/Software Produkt dürften sich eine Vielzahl von Backdoors auf unterschiedlichen Ebenen befinden, direkt in der Software, in Treibern, Diensten, Firmware, Baseband Chips, überall.

      Antworten
      • tineidae sagt:
        12. Juni 2022 um 15:48 Uhr

        Bei Cisco genauso. Juniper musste glaub ich im letzten Jahr vor dem Congress zugegeben das deren Backdoor für die US Behörden von Chinesen genutzt wurde. Für solche Produkte müsste das BSI mal Warnungen rausgeben.

        Antworten
  3. C.K. sagt:
    11. Juni 2022 um 22:00 Uhr

    Ich kenne eine solche Backdoor in einer in Rechenzentren genutzen Power Delivery unit, die der Hersteller nicht fixen will.
    Man kann an dem Gerät angeschlosse devices ohne Zugangsdaten per http ein- und ausschalten… An wen wendet man sich?

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.