[English]Baut sich ein neues Cyberrisiko durch ungepatchte FortiGate Firewalls auf? Experten schlagen Alarm, weil so um die 70% der FortiGate Firewalls über die kritische Schwachstelle CVE-2023-27997 angreifbar sind. Es wird von über 336.000 Servern berichtet, die dadurch ungeschützt durch die Firewall (z.B. per VPN) erreichbar sind. Fortinet hat die Schwachstelle in seinen FortiGate Firewalls bereits im Juni 2023 durch Firmware-Updates geschlossen. Das ist aber bei den Administratoren, auch wegen schlechter Kommunikation, nicht angekommen.
Anzeige
FortiGate Firewall-Schwachstelle CVE-2023-27997
Ich hatte zum 12. Juni 2023, nach einem Leserhinweis, im Blog-Beitrag Fortinet fixt kritischen RCE-Bug (CVE-2023-27997) in Fortigate SSL-VPNs (Juni 2023) über den kritischen RCE-Bug (CVE-2023-27997) in Fortigate SSL-VPNs berichtet. Die Sicherheitslücke ermöglicht es einem Angreifer, sich über das VPN einzuschleusen, selbst wenn MFA aktiviert ist.
Fortinet hatte Sicherheitsupdates für die FortiOS-Firmware-Versionen 6.0.17, 6.2.15, 6.4.13, 7.0.12 und 7.2.5 veröffentlicht, um diese Schwachstelle, die eine Remote Code Execution in den Firewalls ermöglicht, zu schließen.
Allerdings wurde Fortinet eine unglückliche Kommunikation von Seiten der Administratoren vorgeworfen, weil einige Leser erst durch meinen Blog-Beitrag von der Schwachstelle erfuhren. Es gab keine zeitnahe PSIRT-Veröffentlichung von Fortinet mit einer Warnung vor der kritischen Schwachstelle. Die Sicherheitsspezialisten von OLYMPE wiesen auf die Updates hin, die die kritische Schwachstelle schließen. Ich hatte das in obigem Beitrag auch mit aufgegriffen. In diesem Artikel findet sich eine Analyse der Schwachstelle – falls es jemanden interessiert.
Die Folge: Firewalls nicht gepatcht
Das oben angerissene kommunikative Chaos durch Fortinet bleibt nicht ohne Folgen. Sicherheitsforscher schlagen Alarm, weil gut 70 Prozent der FortiGate Firewalls über die Schwachstelle CVE-2023-27997 angreifbar sind.
Anzeige
The Record Media hat es beispielsweise in obigem Tweet sowie in diesem Artikel aufgegriffen. Sicherheitsexperten des Sicherheitsunternehmens Bishop Fox haben einen Exploit für CVE-2023-27997 entwickelt und geben an, dass dieser binnen einer Sekunde abläuft. In einem Blogbeitrag der Sicherheitsforscher heißt es: "Es gibt 490.000 betroffene SSL-VPN-Schnittstellen im Internet, und etwa 69 % von ihnen sind derzeit ungepatcht. Sie sollten Ihre Schnittstellen jetzt patchen."
Die Suchmaschine Shodan warf den Sicherheitsforschern um die 250.000 FortiGate-Installationen aus, die per Internet erreichtar seinen. Daraus ermittelten die Forscher die obige Zahl von 490.000 betroffene SSL-VPN-Schnittstellen. Wenn nur 69% der FortiGate-Instanzen gepatcht sind, kommt man auf die von Arstechnica in diesem Artikel genannten ca. 336.000 Server, die durch diese kritische Schwachstelle angreifbar wären.
Die Firewalls sind breit in Behörden, Ministerien und in der Industrie im Einsatz. Der schlechte Patchstand ist eine Einladung für Cyberkriminelle, über Schwachstellen in Netzwerke einzudringen. Diese Angriffsvektoren wurden in der Vergangenheit durchaus durch Cyberkriminelle für Angriffe auf Behörden oder Regierungen ausgenutzt.
Ähnliche Artikel:
Datensammlung mit 87.000 FortiGate SSL-VPN Zugangsdaten für Angriffe benutzt
FortiGuard Labs meldet: Kritische Sicherheitslücke CVE-2022-42475 in FortiOS wird ausgenutzt
Anzeige
Der Admin sollte immer seine FWs auf dem aktuellsten Stand halten. Ich kann so eine Fahrlässigkeit kaum verstehen. Endergebnis u.u. sind dann wieder viele persönlichen Daten im Umlauf. Toll.
Ist leider nicht immer so einfach. Wir haben eine betroffene FortiGate im Einsatz, können sie von allerdings nicht patchen, da es uns dadurch bei 2 Verbindungen NAT zerschießt. Der Support hat dafür bisher auch noch keine Lösung gefunden.
Ich würde in dem Fall zumindest eine Local-in-Policy mit GeoIP-einschränken ausser Du benötigst SSL-VPN von der ganzen Welt.
Oh das ist ganz übel. Viel Glück das es bald eine Lösung gibt.
Das wäre wohl deutlich einfacher, wenn die Firmwareupdates kostenlos ohne Paywall runterladbar sein würden wie zb bei Zyxel.
Feautureupdates würee ich verstehen, Bugfixes nicht kostenlos über die Lebenszeit des Gerätemodells anzubieten geht mal gar nicht.
@Dietmar: Gute Idee, auch hier wäre es toll wenn die Geo-Ip-Updates kostenlos wären, wie bei… nein ich arbeite nicht für Zyxel und die machen auch genug Mist aber bei solchen Features kann man sie loben.
Wenn der Hersteller solche Hürden bereit hält, um dem Administreator das Leben schwer zu machen, dann würde ich dem Administrator doch direkt einmal empfehlen, sich von dem Produkt zu trennen. Es gibt genügend Mitbewerber auf dem Markt, die sogar die Migration erledigen.
Gibt es eigentlich IOC ?