![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) warnt in einer Mitteilung zum 18. August 2021 die Administratoren und Betreiber von Fortinet-Firewalls. Im FortiWeb OS-Betriebssystem gibt es Schwachstellen, die die Produkte anf\u00e4llig f\u00fcr Command Injection machen. Dies erm\u00f6glicht eine \u00dcbernahme der Produkte durch Remote Angreifer, wobei es derzeit keinen Patch gibt.<\/p>\n
<\/p>\n
Fortinet FortiWeb ist eine Web Application Firewall (WAF), die sowohl bekannte als auch unbekannte Exploits abf\u00e4ngt, die auf die gesch\u00fctzten Webanwendungen abzielen, bevor sie eine Chance zur Ausf\u00fchrung haben. Forscher William Vu von Rapid7 entdeckte im Juni 2021 ein Problem in dieser Software, welches dann am 10. Juni 2021 an Fortinet gemeldet wurde. Dort erfolgte auch ein Hinweis, dass die Schwachstelle in \u00dcbereinstimmung mit den Richtlinien von Rapid7 zur Offenlegung ver\u00f6ffentlicht wird.<\/p>\n Am 17. August 2021 berichtete das IT-Sicherheitsunternehmen Rapid7 daher in seinem Blog<\/a> \u00fcber eine Schwachstelle im Management Interface von Fortinets FortiWeb OS. Die damit verwaltete Web Application Firewall (WAF) Fortinet FortiWeb wird in vielen Organisationen zum Schutz von Webauftritten eingesetzt.<\/p>\n Laut Rapid7 kann ein authentifizierter Angreifer die Ausf\u00fchrung von Befehlen auf dem Ger\u00e4t (durch command injection) erzwingen und die WAF somit vollst\u00e4ndig \u00fcbernehmen. Konkret muss ein Angreifer sich zun\u00e4chst an der Verwaltungsschnittstelle des FortiWeb-Ger\u00e4ts authentifizierten. Dann kann er \u00fcber Backticks im Feld \"Name\" auf der SAML-Server-Konfigurationsseite Befehle einschleusen. Diese Befehle werden dann als Root-Benutzer des zugrunde liegenden Betriebssystems ausgef\u00fchrt.<\/p>\n In der Folge ist die Installation einer Shell oder von Schadsoftware denkbar. Die Sicherheitsforscher von Rapid7 haben in ihrem Blog auch Exploit Code f\u00fcr die Schwachstelle ver\u00f6ffentlicht. Betroffen sind die FortiWeb OS Versionen 6.3.11 und \u00e4lter. Mit einem CVSS-Score von 8.7 wird die Schwere der Sicherheitsl\u00fccke als \u201ehoch\" eingestuft. Ein Patch ist aktuell noch nicht verf\u00fcgbar.<\/p>\n Zus\u00e4tzliche Brisanz erh\u00e4lt der Sachverhalt in Verbindung mit der im Januar ver\u00f6ffentlichten Schwachstelle CVE-2020-29015<\/a> [MITR2021]. Damals war eine M\u00f6glichkeit bekannt geworden, die Authentifizierungsmechanismen von Fortinet FortiWeb zu umgehen. F\u00fcr Ger\u00e4te, auf denen seit diesem Zeitpunkt keine Updates mehr eingespielt wurden, k\u00f6nnte somit auch die o.g. Einschr\u00e4nkung (Authentifizierung an der Management-Oberfl\u00e4che des FortiWeb-Ger\u00e4ts) f\u00fcr die Ausnutzung der nun gefundenen Sicherheitsl\u00fccke entfallen.<\/p>\n Aufgrund der zentralen Bedeutung von Web Application Firewalls f\u00fcr die Sicherheitskonzepte von Webanwendungen geht das BSI im vorliegenden Fall von einer erheblichen Bedrohung aus. In Zusammenhang mit der schon l\u00e4nger bekannten Schwachstelle CVE-2020-29015 zeigt sich laut BSI einmal mehr, wie Angreifer sich unzureichendes Patchmangement f\u00fcr die Verkettung mehrerer Sicherheitsl\u00fccken zu Nutze machen k\u00f6nnen.<\/p>\n Das Problem ist aber, dass zum aktuellen Zeitpunkt Fortinet noch keinen Patch zur Verf\u00fcgung gestellt hat. In einer R\u00fcckmeldung an Rapid7 gab Fortigate an, dass das Update auf Fortiweb 6.4.14 voraussichtlich einen Fix enth\u00e4lt und Ende August ver\u00f6ffentlicht wird.<\/p>\n Das BSI empfiehlt: Betreiber sollten daher Schutzmechanismen \u2013 zum Beispiel durch die Nutzung von VPN – etablieren, die einen unerlaubten Zugriff auf das Management Interface verhindern. Die ungesch\u00fctzte Erreichbarkeit aus dem Internet ist in jedem Fall zu vermeiden.<\/p>\n Zudem empfiehlt sich ja die Installation des Patches zum Schlie\u00dfen der schon l\u00e4nger bekannten Schwachstelle CVE-2020-29015. Allgemeine Hinweise zur Absicherung und dem Aufbau von Firewalls stellt das BSI im Grundschutz-Kompendium<\/a> bereit.<\/p>\n Erg\u00e4nzung: <\/strong>Es sieht so aus, als ob Fortinet da etwas kalt erwischt wurde, oder die Vorgaben von Rapid7 bzgl. einer Offenlegung nicht ernst genommen hat. Von der f\u00fcr Fortinet Pressebetreuung ging mir noch ein Statement des Unternehmens zu. Den Sermon, dass man die Sicherheit der Kunden ernst nimmt, spare ich mir – wenn Fortinet das nicht als Basis voraussetzt, k\u00f6nnen die gleich dicht machen. Hier die essentiellen Aussagen:<\/p>\n \"Fortinet erkennt die wichtige Rolle unabh\u00e4ngiger Sicherheitsforscher an, die eng mit Anbietern zusammenarbeiten, um das Cybersecurity-\u00d6kosystem im Einklang mit deren Richtlinien zur verantwortungsvollen Offenlegung zu sch\u00fctzen. Zus\u00e4tzlich zur direkten Kommunikation mit den Forschern ist unsere Ver\u00f6ffentlichungspolitik auf der Fortinet PSIRT-Richtlinienseite klar umrissen. Dazu geh\u00f6rt auch die Aufforderung an die Einsender von Vorf\u00e4llen, strikte Vertraulichkeit zu wahren, bis vollst\u00e4ndige L\u00f6sungen f\u00fcr die Kunden verf\u00fcgbar sind. Daher hatten wir erwartet, dass Rapid7 alle Ergebnisse vor dem Ende des 90-t\u00e4gigen Zeitfensters f\u00fcr die Offenlegung der Verantwortung zur\u00fcckh\u00e4lt.\u00a0 Wir bedauern, dass in diesem Fall einzelne Untersuchungen ohne angemessene Benachrichtigung vor Ablauf der 90-Tage-Frist vollst\u00e4ndig offengelegt wurden. Wir arbeiten daran, unsere Kunden unverz\u00fcglich \u00fcber eine Umgehungsl\u00f6sung zu informieren und bis Ende der Woche einen Patch zu ver\u00f6ffentlichen.<\/em><\/p><\/blockquote>\n Den Grund f\u00fcr die schnelle Offenlegung durch Rapid7 kenne ich nicht – m\u00f6glicherweise zeichnet sich da eine Ausnutzung ab. Erg\u00e4nzung 2:<\/strong> Die Kollegen von Bleeping Computer haben von Rapid7 den Hinweis bekommen, dass Fortinet auf Nachfragen nicht reagiert habe.<\/p>\n Bez\u00fcglich der obigen Ank\u00fcndigung der Fortinet-Umgehungsl\u00f6sung nur so viel: Wenn das BSI dazu r\u00e4t, die oben genannte altbekannte Schwachstelle zu patchen und darauf hinweist, dass die Verwaltungsoberfl\u00e4che der Web Application Firewall nicht per Internet (sondern maximal per VPN) erreichbar ist, h\u00e4tte der Anbieter da eigentlich zeitnah das Gleiche tun k\u00f6nnen. Ob Kunden benachrichtigt wurden, ist mir nicht gekannt.<\/p>\n Erg\u00e4nzung 3:<\/strong> Fortinet hat einen Sicherheitshinweis ver\u00f6ffentlicht<\/a>, in dem die Fortiweb Versionen bis 6.2.4, bis 6.3.14 und bis\u00a0 6.4.0 als \"vulnerable\" bezeichnet werden. Den Kunden wird empfohlen, \"den Zugriff auf die Verwaltungsschnittstelle aus nicht vertrauensw\u00fcrdigen Netzwerken zu deaktivieren und die Funktion \"Trusted Hosts\" zu verwenden, um den Zugriff auf vertrauensw\u00fcrdige IP-Adressen f\u00fcr die Admin-Benutzer zu beschr\u00e4nken\". Die Information ist mir aber nicht \u00fcber die Fortinet Pressebetreuung zugegangen, sondern die Kollegen von Bleeping Computer haben das hier berichtet<\/a>. Und hier noch die geplanten Update-Versionen mit dem Fix:<\/p>\n Das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) warnt in einer Mitteilung zum 18. August 2021 die Administratoren und Betreiber von Fortinet-Firewalls. Im FortiWeb OS-Betriebssystem gibt es Schwachstellen, die die Produkte anf\u00e4llig f\u00fcr Command Injection machen. Dies erm\u00f6glicht eine \u00dcbernahme … Weiterlesen Ich hatte erste Meldungen<\/a> bereits zum 17. August 2021 gesehen – wonach sich der Patch von Fortinet verz\u00f6gert. Nun hat mir Blog-Leser Marco H. die entsprechende Warnung des BSI per Mail zukommen lassen (danke daf\u00fcr). Administratoren sollten umgehend reagieren.<\/p>\n
FortiWeb OS-Schwachstelle<\/h2>\n
Erhebliches Bedrohungspotential<\/h2>\n
\n