{"id":227567,"date":"2020-01-28T11:48:40","date_gmt":"2020-01-28T10:48:40","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=227567"},"modified":"2023-07-20T18:55:29","modified_gmt":"2023-07-20T16:55:29","slug":"fortinet-schlie-zwei-schwachstellen-ssh-database-in-siem-produkten","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/01\/28\/fortinet-schlie-zwei-schwachstellen-ssh-database-in-siem-produkten\/","title":{"rendered":"Fortinet schlie&szlig; zwei Schwachstellen (SSH, Database) in SIEM-Produkten"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>[<a href=\"https:\/\/borncity.com\/win\/2020\/01\/28\/fortinet-closes-two-vulnerabilities-ssh-database-in-its-siem\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Der Sicherheitsanbieter Fortinet hat Patches freigegeben, die die Schwachstellen CVE-2019-17659 und CVE-2019-16153 im eigenen SIEM-Produkt FortiSIEM schlie\u00dfen. Die Patches sollen jeweils eine Backdoor in SSH und in der Datenbank des Produkts schlie\u00dfen, die durch Bugs aufgerissen wurde. <\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg05.met.vgwort.de\/na\/061c789a6b3942c59d7376d43cf2e329\" width=\"1\" height=\"1\"\/>So ganz spontan ging mit 'ich mag nicht mehr' durch den Kopf, als ich die Nacht den folgenden Tweet von Catalin Cimpanu gelesen habe. <\/p>\n<blockquote class=\"twitter-tweet\">\n<p lang=\"en\" dir=\"ltr\">Fortinet removes SSH and database backdoors from its SIEM product<a href=\"https:\/\/t.co\/nXmd1WgRhD\">https:\/\/t.co\/nXmd1WgRhD<\/a> <a href=\"https:\/\/t.co\/wiSbiW8MCT\">pic.twitter.com\/wiSbiW8MCT<\/a><\/p>\n<p>\u2014 Catalin Cimpanu (@campuscodi) <a href=\"https:\/\/twitter.com\/campuscodi\/status\/1221783604587573248?ref_src=twsrc%5Etfw\">January 27, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>Nur zur Einordnung f\u00fcr Blog-Leser, die nicht im Thema sind. SIEM ist das K\u00fcrzel f\u00fcr <a href=\"https:\/\/de.wikipedia.org\/wiki\/Security_Information_and_Event_Management\" target=\"_blank\" rel=\"noopener noreferrer\">Security Information and Event Management<\/a>, eigentlich eine sinnvolle Sache. Die verlinkte Wikipedia schreibt dazu: SIEM kombiniert die zwei Konzepte <a href=\"https:\/\/de.wikipedia.org\/w\/index.php?title=Security_Information_Management&amp;action=edit&amp;redlink=1\" target=\"_blank\" rel=\"noopener noreferrer\">Security Information Management<\/a> (SIM) und <a href=\"https:\/\/de.wikipedia.org\/w\/index.php?title=Security_Event_Management&amp;action=edit&amp;redlink=1\" target=\"_blank\" rel=\"noopener noreferrer\">Security Event Management<\/a> (SEM) f\u00fcr die Echtzeitanalyse von Sicherheitsalarmen aus den Quellen Anwendungen und Netzwerkkomponenten. SIEM dient damit der Computersicherheit einer Organisation und ist ein Softwareprodukt, das zentral installiert oder als Cloudservice genutzt werden kann. Dumm ist nur, wenn ein SIEM-Produkt selbst Schwachstellen hat, die es angreifbar machen.<\/p>\n<h2>CVE-2019-17659 und CVE-2019-16153 in FortiSIEM<\/h2>\n<p>Bei den Schwachstellen CVE-2019-17659 und CVE-2019-16153 handelt es sich um Probleme, die die Sicherheit der FortiSIEM-L\u00f6sung gef\u00e4hrden. <\/p>\n<h3>SSH-Schwachstelle CVE-2019-17659<\/h3>\n<p>Am 15. Januar 2020 hat Fortinet den Sicherheitshinweis <a href=\"https:\/\/web.archive.org\/web\/20230207050524\/https:\/\/www.fortiguard.com\/psirt\/FG-IR-19-296\" target=\"_blank\" rel=\"noopener noreferrer\">FortiSIEM default SSH key for the \"tunneluser\" account is the same across all appliances<\/a> ver\u00f6ffentlich. FortiSIEM ist bis zur Version 5.2.6 f\u00fcr Denial of Service-Angriffe anf\u00e4llig. <\/p>\n<p>Die Verwendung eines hartcodierten kryptographischen Schl\u00fcssels in FortiSIEM erzeugt quasi eine Backdoor und kann es einem entfernten, nicht authentifizierten Angreifer erm\u00f6glichen, SSH-Zugriff auf den Supervisor als \"Tunnelbenutzer\" eines eingeschr\u00e4nkten Benutzers zu erhalten. Der Angreifer kann dazu die Kenntnis des privaten Schl\u00fcssels aus einer anderen Installation oder einem Firmware-Image nutzen.<\/p>\n<p>Fortinet weist die Nutzer an, ein Upgrade auf FortiSIEM Version 5.2.7 und h\u00f6her durchzuf\u00fchren, da dieses Problem dort gel\u00f6st ist. F\u00fcr Benutzer von FortiSIEM Version 5.2.6 und niedriger hat der Hersteller einen Workaround in dem oben verlinkten Sicherheitshinweis ver\u00f6ffentlicht, der zeigt, wie sich diese Versionen gegen einen solchen Angriff absichern lassen.<\/p>\n<blockquote>\n<p>Unternehmen, die FortiSIEM-Produkte einsetzen, sollten ihre Server zus\u00e4tzlich auf unbefugten Zugriff untersuchen. Denn es gab ein Problem in der E-Mail-Kommunikation zwischen Fortinet und dem entdeckenden Sicherheitsforscher Klaus, wie ZDNet <a href=\"https:\/\/www.zdnet.com\/article\/fortinet-removes-ssh-and-database-backdoors-from-its-siem-product\/\" target=\"_blank\" rel=\"noopener noreferrer\">hier<\/a> schreibt. Der Forscher ver\u00f6ffentlichte am 3. Januar 2020, zw\u00f6lf Tage vor der Ver\u00f6ffentlichung eines Patches durch Fortinet, Einzelheiten zu dieser Schwachstelle. Dadurch k\u00f6nnten Angriffe stattgefunden haben.<\/p>\n<\/blockquote>\n<h3>Datenbank-Schwachstelle CVE-2019-16153 <\/h3>\n<p>Es gibt noch eine zweite Schwachstelle CVE-2019-16153 in der von FortiSIEM verwendeten Datenbank, die ebenfalls wie eine Backdoor ausgenutzt werden kann. Daher hat Fortinet bereits am 12. Januar 2020 den Sicherheitshinweis <a href=\"https:\/\/web.archive.org\/web\/20230325210440\/https:\/\/www.fortiguard.com\/psirt\/FG-IR-19-195\" target=\"_blank\" rel=\"noopener noreferrer\">FortiSIEM Database hard-coded Credentials<\/a> ver\u00f6ffentlicht. <\/p>\n<p>Hintergrund: Es gibt ein fest kodiertes Passwort zum Zugriff auf die verwendete Datenbank. Diese hartcodierte Passwort-Schwachstelle in der FortiSIEM-Datenbankkomponente kann Angreifern \u00fcber statische Zugangsdaten den Zugriff auf die Ger\u00e4tedatenbank erm\u00f6glichen. Dort k\u00f6nnte sich ein Angreifer umfassend \u00fcber die per SIEM-L\u00f6sung verwalteten Ger\u00e4te informieren. Betroffen ist FortiSIEM bis zur Version 5.2.5. Der Hersteller empfiehlt das Upgrade auf FortiSIEM 5.2.6 oder h\u00f6her. <\/p>\n<p>Weitere Details lassen sich ggf. im <a href=\"https:\/\/www.zdnet.com\/article\/fortinet-removes-ssh-and-database-backdoors-from-its-siem-product\/\" target=\"_blank\" rel=\"noopener noreferrer\">ZDNet-Artikel<\/a> nachlesen. Abschlie\u00dfend die Frage: Sind Blog-Leser hier mit Fortinet-Software unterwegs und sind solche Informationen f\u00fcr euch relevant? Wenn es niemanden tangiert, spare ich mir k\u00fcnftig die Artikel zu Fortinet-Schwachstellen. <\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Der Sicherheitsanbieter Fortinet hat Patches freigegeben, die die Schwachstellen CVE-2019-17659 und CVE-2019-16153 im eigenen SIEM-Produkt FortiSIEM schlie\u00dfen. Die Patches sollen jeweils eine Backdoor in SSH und in der Datenbank des Produkts schlie\u00dfen, die durch Bugs aufgerissen wurde.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-227567","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/227567","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=227567"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/227567\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=227567"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=227567"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=227567"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}