{"id":277981,"date":"2023-02-18T11:08:23","date_gmt":"2023-02-18T10:08:23","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=277981"},"modified":"2023-02-18T12:04:36","modified_gmt":"2023-02-18T11:04:36","slug":"fortinet-behebt-kritische-rce-schwachstellen-in-fortinac-und-fortiweb","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/02\/18\/fortinet-behebt-kritische-rce-schwachstellen-in-fortinac-und-fortiweb\/","title":{"rendered":"Fortinet behebt kritische RCE-Schwachstellen in FortiNAC und FortiWeb"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2023\/02\/18\/fortinet-fixes-critical-rce-vulnerabilities-in-fortinac-and-fortiweb\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Administratoren von Fortinets FortiNAC und FortiWeb m\u00fcssen aktiv werden. Der Hersteller hat die Woche einen Sicherheitshinweis ver\u00f6ffentlich und kritische RCE-Schwachstellen beseitigt. Die Frage, die sich stellt: Warum erst jetzt, ist die Schwachstelle CVE-2021-42756 doch wohl seit 2021 bekannt. Wird da was in freier Wildbahn ausgenutzt? Hier einige Informationen dazu.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg05.met.vgwort.de\/na\/dd9e9aa65914442cacc132214fac49ec\" alt=\"\" width=\"1\" height=\"1\" \/>Das Thema ist mir gleich an verschiedenen Stellen untergekommen. In nachfolgendem <a href=\"https:\/\/twitter.com\/Horizon3Attack\/status\/1626692778062237713\" target=\"_blank\" rel=\"noopener\">Tweet<\/a> weist das Horizon3 Attack Team auf die RCE-Schwachstelle CVE-2022-39952 hin, die einem unauthentifizierten Benutzer erm\u00f6glicht in Fortinet FortiNAC Rechte eines Root-Benutzers zu erlangen.<\/p>\n<p><a href=\"https:\/\/twitter.com\/Horizon3Attack\/status\/1626692778062237713\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"Fortinet FortiNAC RCE CVE-2022-39952\" src=\"https:\/\/i.imgur.com\/ssj0kTm.png\" alt=\"Fortinet FortiNAC RCE CVE-2022-39952\" \/><\/a><\/p>\n<p>Und Will Dormann wirft in nachfolgendem <a href=\"https:\/\/twitter.com\/wdormann\/status\/1626645015668703232\" target=\"_blank\" rel=\"noopener\">Tweet<\/a> die Frage auf, wieso erst jetzt eine Sicherheitswarnung kommt, wenn CVE-2021-42756\u00a0 bereits 2021 vergeben wurde.<\/p>\n<p><a href=\"https:\/\/twitter.com\/wdormann\/status\/1626645015668703232\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"CVE-2021-42756 in Fortinet Fortigate\" src=\"https:\/\/i.imgur.com\/NYJZf14.png\" alt=\"CVE-2021-42756 in Fortinet Fortigate\" \/><\/a><\/p>\n<p>Fortigate hat zur Schwachstelle <a href=\"https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2022-39952\">CVE-2022-39952<\/a> (CVSSv3 Score 9.8, kritisch) die Sicherheitswarnung <a href=\"https:\/\/www.fortiguard.com\/psirt\/FG-IR-22-300\" target=\"_blank\" rel=\"noopener\">FG-IR-22-300<\/a> (FortiNAC &#8211; External Control of File Name or Path in keyUpload scriptlet) ver\u00f6ffentlicht und schreibt, dass eine externe Kontrolle des Dateinamens oder des Pfades [CWE-73] im FortiNAC Webserver einem nicht authentifizierten Angreifer erlauben k\u00f6nnte, beliebige Schreiboperationen auf dem System durchzuf\u00fchren. Aufgedeckt hat das das interne Sicherheitsteam. Betroffen sind:<\/p>\n<ul>\n<li>FortiNAC Version 9.4.0<\/li>\n<li>FortiNAC Version 9.2.0 bis 9.2.5<\/li>\n<li>FortiNAC Version 9.1.0 bis 9.1.7<\/li>\n<li>FortiNAC 8.8 alle Versionen<\/li>\n<li>FortiNAC 8.7 alle Versionen<\/li>\n<li>FortiNAC 8.6 alle Versionen<\/li>\n<li>FortiNAC 8.5 alle Versionen<\/li>\n<li>FortiNAC 8.3 alle Versionen<\/li>\n<\/ul>\n<p>Der Anbieter hat daher Sicherheitsupdates ver\u00f6ffentlicht; die nachfolgenden Versionen enthalten die Schwachstelle nicht mehr.<\/p>\n<ul>\n<li>FortiNAC Version 9.4.1 oder h\u00f6her<\/li>\n<li>FortiNAC Version 9.2.6 oder h\u00f6her<\/li>\n<li>FortiNAC Version 9.1.8 oder h\u00f6her<\/li>\n<li>FortiNAC Version 7.2.0 oder h\u00f6her<\/li>\n<\/ul>\n<p>Die Kollegen von Bleeping Computer haben das Thema in <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/fortinet-fixes-critical-rce-flaws-in-fortinac-and-fortiweb\/\" target=\"_blank\" rel=\"noopener\">diesem Beitrag<\/a> aufgegriffen. Dort wird auch die Schwachstelle <a href=\"https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2021-42756\" target=\"_blank\" rel=\"noopener\">CVE-2021-42756<\/a> (CVSS v3 Score 9.3, kritisch) in FortiWeb (web application firewall) angesprochen.<\/p>\n<h2>Gru\u00df aus der Gruft<\/h2>\n<p>Erg\u00e4nzung: Hab noch etwas in meiner Sammlung gew\u00fchlt und mir ist eine Tenable-Sicherheitsmeldung vom 24.1.2023 zu einer RCE-Schwachstelle in Fortinet-Produkten erneut unter die Augen gekommen. Es ging um die Ausnutzung von Fortinet-Schwachstelle durch staatlich gef\u00f6rderte Angreifer.<\/p>\n<p>Denn die Sicherheitsforscher von <a href=\"https:\/\/www.mandiant.com\/resources\/blog\/chinese-actors-exploit-fortios-flaw\" target=\"_blank\" rel=\"noopener\">Mandiant<\/a> verfolgen eine neue Kampagne an Cyberangriffen, bei der (mutma\u00dflich chinesische) Angreifer die Schwachstelle CVE-2022-42475 in Fortinets FortiOS SSL-VPN als Zero-Day ausnutzten. Die Entdeckung oder Beschaffung einer Zero-Day-Schwachstelle ist in der Regel ein kostspieliges Unterfangen, so dass es zwar \u00fcberraschend, aber nicht unerwartet ist, dass ein nationalstaatlicher Akteur eine Zero-Day-Schwachstelle ausnutzt.<\/p>\n<p>Satnam Narang, Staff Research Engineer bei Tenable kommentiert: \"<em>Seit 2019 haben wir gesehen, dass SSL-VPN-Schwachstellen von Citrix, Pulse Secure und Fortinet von einer Vielzahl von Angreifern ausgenutzt werden, von Ransomware-Affiliates bis hin zu APT-Bedrohungsgruppen (Advanced Persistent Threat) und nationalstaatlichen Akteuren, die mit L\u00e4ndern wie Russland, Iran und China verbunden sind.<\/em><\/p>\n<p><em>Da diese Assets \u00f6ffentlich zug\u00e4nglich sind, sind sie ein ideales Ziel f\u00fcr Angriffe. Aus Kostensicht sind die Investitionen in die Entwicklung oder Beschaffung von Zero-Day-Schwachstellen sicherlich h\u00f6her, w\u00e4hrend die Nutzung von \u00f6ffentlich verf\u00fcgbarem Exploit-Code f\u00fcr \u00e4ltere Schwachstellen nichts kostet. In diesem Sinne ist es \u00fcberraschend, dass ein staatlicher Akteur mit Verbindungen zu China eine Zero-Day-Schwachstelle ausnutzt, wenngleich es nicht unerwartet ist. Unternehmen, die SSL-VPN-Software einsetzen, sollten sich darauf konzentrieren, diese Ger\u00e4te rechtzeitig zu patchen, um das Zeitfenster f\u00fcr opportunistische Angreifer zu begrenzen. Gleichzeitig sollten sie sicherstellen, dass ein robustes Programm zur Reaktion auf Sicherheitsvorf\u00e4lle vorhanden ist<\/em>.\"<\/p>\n<p>Claire Tills, Senior Research Engineer bei Tenable, meint dazu: \"<em>Drei Tage nach der ersten \u00f6ffentlichen Bekanntgabe hat Fortinet den Patch CVE-2022-42475 ver\u00f6ffentlicht und best\u00e4tigt, dass er in freier Wildbahn ausgenutzt wurde. Bei dem kritischen Sicherheitsfehler handelt es sich um eine Buffer-Overflow-Schwachstelle. Dadurch ist in mehreren Versionen von ForiOS, die in SSL-VPNs und Firewalls eingesetzt werden, Remote-Code-Ausf\u00fchrung m\u00f6glich. SSL-VPNs von Fortinet sind schon seit Jahren ein wichtiges Ziel \u2013 so sehr, dass das FBI und die CISA im Jahr 2021 einen speziellen Hinweis auf diese Schwachstellen und deren Ausnutzung herausgegeben haben. Es ist bekannt, dass staatliche Akteure diese alten Schwachstellen in Fortinet SSL VPNs immer noch ausnutzen. Da diese neue Schwachstelle bereits ausgenutzt wurde, sollten Unternehmen CVE-2022-42475 sofort patchen, bevor sie sich in die Reihe der anderen alten VPN-Schwachstellen einreiht.<\/em>\"<\/p>\n<p>&nbsp;<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Administratoren von Fortinets FortiNAC und FortiWeb m\u00fcssen aktiv werden. Der Hersteller hat die Woche einen Sicherheitshinweis ver\u00f6ffentlich und kritische RCE-Schwachstellen beseitigt. Die Frage, die sich stellt: Warum erst jetzt, ist die Schwachstelle CVE-2021-42756 doch wohl seit 2021 bekannt. Wird da &hellip; <a href=\"https:\/\/borncity.com\/blog\/2023\/02\/18\/fortinet-behebt-kritische-rce-schwachstellen-in-fortinac-und-fortiweb\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459,185],"tags":[8371,4328,4315],"class_list":["post-277981","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","category-update","tag-fortinet","tag-sicherheit","tag-update"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/277981","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=277981"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/277981\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=277981"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=277981"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=277981"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}