Angreifer nisten sich in Firewalls von Fortinet ein. Über eine aktuelle Variante berichtet der Hersteller. Mehr als 14.000 kompromittierte Firewalls von Fortinet weltweit haben IT-Forscher derzeit aufgespürt.

Angreifer haben bekannte Sicherheitslücken in der VPN-Komponente der Fortinet-Firewalls zum Einsteigen in die Netzwerke missbraucht, erörtert Fortinet in einem Blog-Beitrag. Es handelt sich dabei konkret um Sicherheitslücken in FortiOS SSL-VPN (CVE-2022-42475, CVSS 9.3, Risiko "kritisch"), FortiOS und FortiProxy SSL-VPN (CVE-2023-27997, CVSS 9.2, Risiko "kritisch") und im sslvpnd von FortiOS und FortiProxy (CVE-2024-21762, CVSS 9.6, Risiko "kritisch").

Für die Fortinet-Analysten war neu, dass die Angreifer auf erfolgreich angegriffenen FortiGate-Geräten einen Symlink (symbolic link) zwischen dem User-Dateisystem und dem root-Dateisystem in einen Ordner für Sprachdateien des SSL-VPNs erstellt haben. Um nicht entdeckt zu werden, wurde der Symlink im User-Dateisystem erstellt. Der Symlink konnte auch nach Anwenden von Aktualisierungen zum Schließen der angegriffenen Schwachstelle erhalten bleiben. Somit hatten die Angreifer weiterhin lesenden Zugriff auf das Dateisystem. Laut Fortinet sei solch ein Angriff aber nicht möglich, wenn das SSL-VPN nie aktiviert war.

Um diese Symlinks zu entfernen, hat Fortinet eine Signatur erstellt. Weiterhin soll auch die SSL-VPN-Software angepasst worden sein. Betroffene Kunden wurden von Fortinet informiert. Das Problem soll durch die Aktualisierung auf FortiOS 7.6.2, 7.4.7, 7.2.11, 7.0.17 und 6.4.16 auf jeweils angepasste Weise behoben sein. IT-Verantwortliche sollten zudem die Konfiguration der Geräte überprüfen.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE