Fortinet behebt kritische RCE-Schwachstellen in FortiNAC und FortiWeb

Publiziert am 18. Februar 2023 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)[English]Administratoren von Fortinets FortiNAC und FortiWeb müssen aktiv werden. Der Hersteller hat die Woche einen Sicherheitshinweis veröffentlich und kritische RCE-Schwachstellen beseitigt. Die Frage, die sich stellt: Warum erst jetzt, ist die Schwachstelle CVE-2021-42756 doch wohl seit 2021 bekannt. Wird da was in freier Wildbahn ausgenutzt? Hier einige Informationen dazu.

Anzeige

Das Thema ist mir gleich an verschiedenen Stellen untergekommen. In nachfolgendem Tweet weist das Horizon3 Attack Team auf die RCE-Schwachstelle CVE-2022-39952 hin, die einem unauthentifizierten Benutzer ermöglicht in Fortinet FortiNAC Rechte eines Root-Benutzers zu erlangen.

Fortinet FortiNAC RCE CVE-2022-39952

Und Will Dormann wirft in nachfolgendem Tweet die Frage auf, wieso erst jetzt eine Sicherheitswarnung kommt, wenn CVE-2021-42756  bereits 2021 vergeben wurde.

CVE-2021-42756 in Fortinet Fortigate

Fortigate hat zur Schwachstelle CVE-2022-39952 (CVSSv3 Score 9.8, kritisch) die Sicherheitswarnung FG-IR-22-300 (FortiNAC – External Control of File Name or Path in keyUpload scriptlet) veröffentlicht und schreibt, dass eine externe Kontrolle des Dateinamens oder des Pfades [CWE-73] im FortiNAC Webserver einem nicht authentifizierten Angreifer erlauben könnte, beliebige Schreiboperationen auf dem System durchzuführen. Aufgedeckt hat das das interne Sicherheitsteam. Betroffen sind:

  • FortiNAC Version 9.4.0
  • FortiNAC Version 9.2.0 bis 9.2.5
  • FortiNAC Version 9.1.0 bis 9.1.7
  • FortiNAC 8.8 alle Versionen
  • FortiNAC 8.7 alle Versionen
  • FortiNAC 8.6 alle Versionen
  • FortiNAC 8.5 alle Versionen
  • FortiNAC 8.3 alle Versionen

Der Anbieter hat daher Sicherheitsupdates veröffentlicht; die nachfolgenden Versionen enthalten die Schwachstelle nicht mehr.

  • FortiNAC Version 9.4.1 oder höher
  • FortiNAC Version 9.2.6 oder höher
  • FortiNAC Version 9.1.8 oder höher
  • FortiNAC Version 7.2.0 oder höher

Die Kollegen von Bleeping Computer haben das Thema in diesem Beitrag aufgegriffen. Dort wird auch die Schwachstelle CVE-2021-42756 (CVSS v3 Score 9.3, kritisch) in FortiWeb (web application firewall) angesprochen.

Gruß aus der Gruft

Ergänzung: Hab noch etwas in meiner Sammlung gewühlt und mir ist eine Tenable-Sicherheitsmeldung vom 24.1.2023 zu einer RCE-Schwachstelle in Fortinet-Produkten erneut unter die Augen gekommen. Es ging um die Ausnutzung von Fortinet-Schwachstelle durch staatlich geförderte Angreifer.

Anzeige

Denn die Sicherheitsforscher von Mandiant verfolgen eine neue Kampagne an Cyberangriffen, bei der (mutmaßlich chinesische) Angreifer die Schwachstelle CVE-2022-42475 in Fortinets FortiOS SSL-VPN als Zero-Day ausnutzten. Die Entdeckung oder Beschaffung einer Zero-Day-Schwachstelle ist in der Regel ein kostspieliges Unterfangen, so dass es zwar überraschend, aber nicht unerwartet ist, dass ein nationalstaatlicher Akteur eine Zero-Day-Schwachstelle ausnutzt.

Satnam Narang, Staff Research Engineer bei Tenable kommentiert: "Seit 2019 haben wir gesehen, dass SSL-VPN-Schwachstellen von Citrix, Pulse Secure und Fortinet von einer Vielzahl von Angreifern ausgenutzt werden, von Ransomware-Affiliates bis hin zu APT-Bedrohungsgruppen (Advanced Persistent Threat) und nationalstaatlichen Akteuren, die mit Ländern wie Russland, Iran und China verbunden sind.

Da diese Assets öffentlich zugänglich sind, sind sie ein ideales Ziel für Angriffe. Aus Kostensicht sind die Investitionen in die Entwicklung oder Beschaffung von Zero-Day-Schwachstellen sicherlich höher, während die Nutzung von öffentlich verfügbarem Exploit-Code für ältere Schwachstellen nichts kostet. In diesem Sinne ist es überraschend, dass ein staatlicher Akteur mit Verbindungen zu China eine Zero-Day-Schwachstelle ausnutzt, wenngleich es nicht unerwartet ist. Unternehmen, die SSL-VPN-Software einsetzen, sollten sich darauf konzentrieren, diese Geräte rechtzeitig zu patchen, um das Zeitfenster für opportunistische Angreifer zu begrenzen. Gleichzeitig sollten sie sicherstellen, dass ein robustes Programm zur Reaktion auf Sicherheitsvorfälle vorhanden ist."

Claire Tills, Senior Research Engineer bei Tenable, meint dazu: "Drei Tage nach der ersten öffentlichen Bekanntgabe hat Fortinet den Patch CVE-2022-42475 veröffentlicht und bestätigt, dass er in freier Wildbahn ausgenutzt wurde. Bei dem kritischen Sicherheitsfehler handelt es sich um eine Buffer-Overflow-Schwachstelle. Dadurch ist in mehreren Versionen von ForiOS, die in SSL-VPNs und Firewalls eingesetzt werden, Remote-Code-Ausführung möglich. SSL-VPNs von Fortinet sind schon seit Jahren ein wichtiges Ziel – so sehr, dass das FBI und die CISA im Jahr 2021 einen speziellen Hinweis auf diese Schwachstellen und deren Ausnutzung herausgegeben haben. Es ist bekannt, dass staatliche Akteure diese alten Schwachstellen in Fortinet SSL VPNs immer noch ausnutzen. Da diese neue Schwachstelle bereits ausgenutzt wurde, sollten Unternehmen CVE-2022-42475 sofort patchen, bevor sie sich in die Reihe der anderen alten VPN-Schwachstellen einreiht."

 

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit, Software, Update abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Fortinet behebt kritische RCE-Schwachstellen in FortiNAC und FortiWeb

  1. p4nd0r4 sagt:
    18. Februar 2023 um 20:58 Uhr

    Eine 9.8? Pffff…was für Stümper.

    Winner of the week is INTEL…mit einer glatten 10.0!
    Man beachte ebenfalls die 2021 in der CVE-202-2021-39296.
    Auf die ist wenigstens noch Verlass….

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.