69 % der FortiGate Firewalls durch kritische, ungepatchte RCE-Schwachstelle CVE-2023-27997 angreifbar

Stop - Pixabay[English]Baut sich ein neues Cyberrisiko durch ungepatchte FortiGate Firewalls auf? Experten schlagen Alarm, weil so um die 70% der FortiGate Firewalls über die kritische Schwachstelle CVE-2023-27997 angreifbar sind. Es wird von über 336.000 Servern berichtet, die dadurch ungeschützt durch die Firewall (z.B. per VPN) erreichbar sind. Fortinet hat die Schwachstelle in seinen FortiGate Firewalls bereits im Juni 2023 durch Firmware-Updates geschlossen. Das ist aber bei den Administratoren, auch wegen schlechter Kommunikation, nicht angekommen.


Anzeige

FortiGate Firewall-Schwachstelle CVE-2023-27997

Ich hatte zum 12. Juni 2023, nach einem Leserhinweis, im Blog-Beitrag Fortinet fixt kritischen RCE-Bug (CVE-2023-27997) in Fortigate SSL-VPNs (Juni 2023) über den kritischen RCE-Bug (CVE-2023-27997) in Fortigate SSL-VPNs berichtet. Die Sicherheitslücke ermöglicht es einem Angreifer, sich über das VPN einzuschleusen, selbst wenn MFA aktiviert ist.

Fortinet hatte Sicherheitsupdates für die FortiOS-Firmware-Versionen 6.0.17, 6.2.15, 6.4.13, 7.0.12 und 7.2.5 veröffentlicht, um diese Schwachstelle, die eine Remote Code Execution in den Firewalls ermöglicht, zu schließen.

Allerdings wurde Fortinet eine unglückliche Kommunikation von Seiten der Administratoren vorgeworfen, weil einige Leser erst durch meinen Blog-Beitrag von der Schwachstelle erfuhren. Es gab keine zeitnahe PSIRT-Veröffentlichung von Fortinet mit einer Warnung vor der kritischen Schwachstelle. Die Sicherheitsspezialisten von OLYMPE wiesen auf die Updates hin, die die kritische Schwachstelle schließen. Ich hatte das in obigem Beitrag auch mit aufgegriffen. In diesem Artikel findet sich eine Analyse der Schwachstelle – falls es jemanden interessiert.

Die Folge: Firewalls nicht gepatcht

Das oben angerissene kommunikative Chaos durch Fortinet bleibt nicht ohne Folgen. Sicherheitsforscher schlagen Alarm, weil gut 70 Prozent der FortiGate Firewalls über die Schwachstelle CVE-2023-27997 angreifbar sind.


Anzeige

FortiGate Firewall-Schwachstelle CVE-2023-27997

The Record Media hat es beispielsweise in obigem Tweet sowie in diesem Artikel aufgegriffen. Sicherheitsexperten des Sicherheitsunternehmens Bishop Fox haben einen Exploit für CVE-2023-27997 entwickelt und geben an, dass dieser binnen einer Sekunde abläuft. In einem Blogbeitrag der Sicherheitsforscher heißt es: "Es gibt 490.000 betroffene SSL-VPN-Schnittstellen im Internet, und etwa 69 % von ihnen sind derzeit ungepatcht. Sie sollten Ihre Schnittstellen jetzt patchen."

Die Suchmaschine Shodan warf den Sicherheitsforschern um die 250.000 FortiGate-Installationen aus, die per Internet erreichtar seinen. Daraus ermittelten die Forscher die obige Zahl von 490.000 betroffene SSL-VPN-Schnittstellen. Wenn nur 69% der FortiGate-Instanzen gepatcht sind, kommt man auf die von Arstechnica in diesem Artikel genannten ca. 336.000 Server, die durch diese kritische Schwachstelle angreifbar wären.

Die Firewalls sind breit in Behörden, Ministerien und in der Industrie im Einsatz. Der schlechte Patchstand ist eine Einladung für Cyberkriminelle, über Schwachstellen in Netzwerke einzudringen. Diese Angriffsvektoren wurden in der Vergangenheit durchaus durch Cyberkriminelle für Angriffe auf Behörden oder Regierungen ausgenutzt.

Ähnliche Artikel:
Datensammlung mit 87.000 FortiGate SSL-VPN Zugangsdaten für Angriffe benutzt
FortiGuard Labs meldet: Kritische Sicherheitslücke CVE-2022-42475 in FortiOS wird ausgenutzt


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

7 Antworten zu 69 % der FortiGate Firewalls durch kritische, ungepatchte RCE-Schwachstelle CVE-2023-27997 angreifbar

  1. Bernd sagt:

    Der Admin sollte immer seine FWs auf dem aktuellsten Stand halten. Ich kann so eine Fahrlässigkeit kaum verstehen. Endergebnis u.u. sind dann wieder viele persönlichen Daten im Umlauf. Toll.

    • Unbekannt sagt:

      Ist leider nicht immer so einfach. Wir haben eine betroffene FortiGate im Einsatz, können sie von allerdings nicht patchen, da es uns dadurch bei 2 Verbindungen NAT zerschießt. Der Support hat dafür bisher auch noch keine Lösung gefunden.

    • Stefan sagt:

      Das wäre wohl deutlich einfacher, wenn die Firmwareupdates kostenlos ohne Paywall runterladbar sein würden wie zb bei Zyxel.

      Feautureupdates würee ich verstehen, Bugfixes nicht kostenlos über die Lebenszeit des Gerätemodells anzubieten geht mal gar nicht.

      @Dietmar: Gute Idee, auch hier wäre es toll wenn die Geo-Ip-Updates kostenlos wären, wie bei… nein ich arbeite nicht für Zyxel und die machen auch genug Mist aber bei solchen Features kann man sie loben.

      • Ralph D. Kärner sagt:

        Wenn der Hersteller solche Hürden bereit hält, um dem Administreator das Leben schwer zu machen, dann würde ich dem Administrator doch direkt einmal empfehlen, sich von dem Produkt zu trennen. Es gibt genügend Mitbewerber auf dem Markt, die sogar die Migration erledigen.

  2. Anonymous sagt:

    Gibt es eigentlich IOC ?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.