Für das FortiOS-Betriebssystem hat Fortinet kurz vor dem Juni-Patchday Aktualisierungen veröffentlicht. Die Entwickler schließen darin eine Sicherheitslücke im SSL-VPN, durch die Angreifer aus dem Netz Schadcode einschleusen und ausführen können.

Charles Fol ist einer der Entdecker der Lücke und schreibt auf Twitter, dass sich die Schwachstelle auf jeder SSL-VPN-Appliance von Angreifern ohne vorherige Authentifizierung missbrauchen lässt. Dafür ist bereits die CVE-Nummer CVE-2023-27997 reserviert, Details folgen Fol zufolge jedoch erst später. Zur Einschätzung des Risikos fehlt auch noch ein CVSS-Wert.

6.2.15, 6.4.13, 7.0.12 und 7.2.5 oder neuere sind die fehlerbereinigten Version von FortiOS. Es gibt laut Hinweisen aus dem Netz allerdings auch ein Update auf Version 6.0.17. Eigentlich ist FortiOS 6.0 End-of-Life. Die bereitstehenden Aktualisierungen sollten IT-Verantwortliche zügig installieren, um die Angriffsfläche zu minimieren.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE