Kritische Schwachstelle in FortiOS und FortiProxy: Was Sie jetzt wissen müssen

enthus blog securitywarning marker deep blue d1
Keinen Beitrag
mehr verpassen?
Jetzt abonnieren!
Keinen Beitrag mehr verpassen?
Keinen Beitrag mehr verpassen?

Am 14. Januar veröffentlichte Fortinet ein Advisory zu einer schwerwiegenden Schwachstelle in FortiOS und FortiProxy, die in der Firewall-Produktreihe FortiGate zum Einsatz kommen. Die Schwachstelle, identifiziert als CVE-2024-55591, wurde mit einem CVSS-Score von 9.6 als kritisch eingestuft. Sie ermöglicht es einem nicht-authentifizierten Angreifer, Super-Admin-Privilegien zu erlangen, indem er einen alternativen Authentifizierungspfad (CWE-288) nutzt.

Betroffene Versionen und Ausnutzung

Betroffen sind die FortiOS-Versionen 7.0.0 bis einschließlich 7.0.16 sowie FortiProxy 7.2.0 bis einschließlich 7.2.12 und 7.0.0 bis einschließlich 7.0.19. Andere Versionen wie FortiOS 6.4, 7.2, 7.4, 7.6 und FortiProxy 2.0, 7.4, 7.6 sind laut Fortinet nicht verwundbar. Die Schwachstelle wird bereits aktiv ausgenutzt, wie das IT-Sicherheitsunternehmen Arctic Wolf berichtet. Angreifer haben nicht-autorisierten Zugriff auf exponierte Management-Zugänge der Firewalls erlangt, neue Accounts erstellt und diese zur SSL-VPN-Authentifizierung genutzt. Zudem wurden Konfigurationsänderungen vorgenommen und Zugangsdaten aus kompromittierten Netzwerken entwendet.

Bedrohungsszenario und Maßnahmen

Firewalls sind essenzielle Sicherheitskomponenten in IT-Netzwerken und oft die erste Verteidigungslinie gegen externe Angriffe. Aufgrund ihrer zentralen Rolle sind sie attraktive Ziele für Cyberkriminelle. Im aktuellen Fall wird das Bedrohungsszenario durch die Freischaltung des Zugriffs auf administrative Zugänge aus dem öffentlichen Internet verschärft – eine Praxis, die grundsätzlich vermieden werden sollte.

Empfohlene Maßnahmen:

  1. Updates und Patches: IT-Sicherheitsverantwortliche sollten betroffene Geräte unverzüglich auf die abgesicherte FortiOS- bzw. FortiProxy-Version aktualisieren. Die entsprechenden Patches sichern vor CVE-2024-55591 ab.
  2. Workarounds: Falls Patches nicht sofort eingespielt werden können, stehen zwei Workarounds zur Verfügung, um eine Ausnutzung zu verhindern. Details dazu finden sich im Advisory von Fortinet.
  3. Kompromittierung prüfen: Es sollte geprüft werden, ob verwundbare Geräte kompromittiert wurden, insbesondere wenn der Management-Zugriff exponiert war. Das BSI empfiehlt präventiv, Zugangsdaten auf potenziell kompromittierten Geräten zu tauschen.

Indikatoren einer Kompromittierung (IoCs)

Unsere beiden Technologiepartner Fortinet und Arctic Wolf haben eine Vielzahl von IoCs veröffentlicht, die auf eine Kompromittierung hinweisen. Besonders auffällig ist die Nutzung der jsconsole-Schnittstelle von ungewöhnlichen IP-Adressen (z.B. 127.0.0.1, 8.8.8.8, 1.1.1.1). Verfügbare Logs sollten daher auf Aktivitäten der jsconsole überprüft werden. Zudem wurde HTTPS-Web-Management-Traffic von IP-Adressen einer Gruppe von VPS-Hosting-Anbietern beobachtet, der zeitlich mit der jsconsole-Aktivität zusammenfiel.

Empfehlungen des BSI

Das BSI hat wiederholt darauf hingewiesen, dass Management-Zugänge von Firewalls nicht nach außen exponiert werden sollten. Administrations- und Managementzugänge müssen auf einzelne Quell-IP-Adressen bzw. -Adressbereiche eingeschränkt werden. IT-Sicherheitsverantwortliche sollten diese und weitere von Fortinet empfohlene Maßnahmen umsetzen, um ihre Geräte abzusichern. Dazu gehört auch die Implementierung von Local-In-Policies, um den Zugriff auf den FGFM-Dienst (Port 541) nur noch von festgelegten IP-Adressen zuzulassen.

Fazit

Die Schwachstelle CVE-2024-55591 stellt eine erhebliche Bedrohung für IT-Netzwerke dar, die FortiOS und FortiProxy nutzen. Es ist entscheidend, dass IT-Sicherheitsverantwortliche schnell handeln, um ihre Systeme zu schützen und potenzielle Kompromittierungen zu erkennen und zu beheben. Durch die Umsetzung der empfohlenen Maßnahmen können Organisationen ihre Netzwerke besser absichern und das Risiko eines erfolgreichen Angriffs minimieren. Bitte wenden Sie sich für akute Unterstützung jederzeit an Ihre Ansprechpartner aus unserem Haus oder kontaktieren Sie uns direkt unter hallo@enthus.de

Links:


Schreiben Sie uns

Sie haben Fragen zu diesem Blog-Beitrag oder benötigen einen Expertenrat zu einem anderen Thema, 
dann schreiben Sie uns gerne und wir melden uns bei Ihnen zurück.