Anzeige

IT Schwachstelle

Am 17. August 2021 berichtete das IT-Sicherheitsunternehmen Rapid7 in seinem Blog über eine Schwachstelle im Management Interface von Fortinets FortiWeb OS. Die damit verwaltete Web Application Firewall (WAF) Fortinet FortiWeb wird in vielen Organisationen zum Schutz von Webangeboten eingesetzt.

Dem Artikel zufolge kann ein authentifizierter Angreifer die Ausführung von Befehlen auf dem Gerät provozieren (eng. command injection) und die WAF somit vollständig übernehmen. In der Folge ist die Installation einer Shell oder von Schadsoftware denkbar. Exploit Code hat Rapid7 ebenfalls in seinem Blog veröffentlicht. Betroffen sind die FortiWeb OS Versionen 6.3.11 und älter. Mit einem CVSS-Score von 8.7 wird die Schwere der Sicherheitslücke als „hoch“ eingestuft. Ein Patch ist aktuell noch nicht verfügbar.

Zusätzliche Brisanz erhält der Sachverhalt in Verbindung mit der im Januar veröffentlichten Schwachstelle CVE-2020-29015. Damals war eine Möglichkeit bekannt geworden, die Authentifizierungsmechanismen von Fortinet FortiWeb zu umgehen. Für Geräte, auf denen seit diesem Zeitpunkt keine Updates mehr eingespielt wurden, könnte somit auch die o.g. Einschränkung für die Ausnutzung der nun gefundenen Sicherheitslücke entfallen.
 

Bewertung

Aufgrund der zentralen Bedeutung von Web Application Firewalls für die Sicherheitskonzepte von Webanwendungen geht das BSI im vorliegenden Fall von einer erheblichen Bedrohung aus. In Zusammenhang mit der schon länger bekannten Schwachstelle CVE-2020-29015 zeigt sich auch einmal mehr, wie Angreifer sich unzureichendes Patchmangement für die Verkettung mehrer Sicherheitslücken zu Nutze machen können.

Zum aktuellen Zeitpunkt hat Fortinet noch keinen Patch zur Verfügung gestellt. Betreiber sollten daher Schutzmechanismen etablieren, die einen unerlaubten Zugriff auf das Management Interface verhindern – zum Beispiel durch die Nutzung von VPN. Die ungeschützte Erreichbarkeit aus dem Internet ist in jedem Fall zu vermeiden.

www.bsi.bund.de


Weitere Artikel

Klarnamenpflicht: Facebook unterliegt am BGH

Facebook muss es nach einem Urteil des Bundesgerichtshofs (BGH) hinnehmen, dass seit langem angemeldete Nutzer Pseudonyme auf der Plattform gebrauchen. Eine Pflicht zur Verwendung des sogenannten Klarnamens sei unwirksam, entschied der dritte Zivilsenat am…
Data Privacy Day

Der Datenschutz in Europa

Anlässlich des Data Privacy Day am kommenden Freitag (28.01.2022), teilt John Smith, EMEA CTO bei Veracode, einige Gedanken zum Thema Datenschutz in Europa.
Facebook

Facebooks Gratis-Web "Free Basics" ist gar nicht gratis

Facebooks Plan, in Entwicklungsländern wie Indonesien, den Philippinen und Pakistan mit lokalen Mobilfunkanbietern zusammenzuarbeiten, um Menschen einen kostenlosen Internetzugang zu ermöglichen, ist offensichtlich nach hinten losgegangen. Laut Recherchen des…
SAP

SAP plant Übernahme von US-Fintech Taulia

Europas größter Softwarehersteller SAP will sein Geschäft im Finanzbereich mit einer Übernahme in den USA ausbauen. Mit dem Erwerb der Kontrollmehrheit an dem US-Fintech Taulia soll den SAP-Kunden ein besserer Zugang zu Liquidität ermöglicht werden, wie der…
Computerchip

Weltweitem Halbleitermangel mit einer Mobile-Business-Strategie entgegentreten

Die Halbleiterkrise nimmt weiter zu, so dass die USA nun reagieren und Hilfen in Höhe von 52 Milliarden US-Dollar zur Verfügung stellen wollen.
iPhone

Apples iPhone jetzt Nummer eins in China

Apples iPhone war im vergangenen Weihnachtsquartal nach Berechnungen von Marktforschern das meistverkaufte Smartphone in China. Der US-Konzern steigerte seinen Marktanteil von 16 Prozent ein Jahr zuvor auf 23 Prozent, wie die Analysefirma Counterpoint…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.