![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Fortinet f\u00e4llt ja immer wieder durch kritische Schwachstellen im FortiManager oder anderen Produkten auf. Im Oktober 2024 musste Fortinet eine Schwachstelle im FortiManager schlie\u00dfen. Ein Blog-Leser hat mich Ende Oktober 2024 kontaktiert, um in einer Nachbetrachtung mal einige Eindr\u00fccke aus der Praxis auf den Tisch zu bringen.<\/p>\n
<\/p>\n
Es hei\u00dft, dass die Schwachstelle, CVE-2024-47575 \/ FG-IR-24-423, es einem Bedrohungsakteur erm\u00f6glicht, ein nicht autorisiertes, von einem Bedrohungsakteur kontrolliertes FortiManager-Ger\u00e4t zu verwenden, um beliebigen Code oder Befehle gegen anf\u00e4llige FortiManager-Ger\u00e4te auszuf\u00fchren.<\/p>\n Mandiant beobachtete bereits am 27. Juni 2024 einen neuen Bedrohungscluster, den die Sicherheitsforscher als UNC5820 bezeichneten, der die FortiManager-Schwachstelle ausnutzt. Im verlinkten Beitrag legt Mandiant die Details offen.<\/p>\n heise hatte das Ganze im Beitrag\u00a0Fortinet best\u00e4tigt kritische angegriffene Sicherheitsl\u00fccke in Fortimanager<\/a> aufgegriffen und gibt an, dass das BSI diese Schwachstelle als \"maximal kritisch\" eingestuft habe.<\/p>\n Der Blog-Leser schreibt, dass er in einem mittelst\u00e4ndischen Unternehmen f\u00fcr den Bereich der IT-Sicherheit zust\u00e4ndig sei.\u00a0In den letzten beiden Wochen des Oktober 2024 hatten\u00a0 die Leute in diesem Bereich einiges an Spa\u00df mit dem FortiManager von Fortinet und einer Schwachstelle, von der viele Kunden betroffen waren.<\/p>\n Der Leser gibt an, dass das Unternehmen von seinem Dienstleister im WAN-Bereich \u00fcber\u00a0 diese Schwachstelle informiert wurde – wenn der Dienstleister patzt, ist es \"Essig mit der Sicherheit\", es sei denn, die Leute bekommen Schwachstellen \u00fcber Medien mit.<\/p>\n Als Folge durfte die IT-Abteilung des Lesers alles, von lokalen Passw\u00f6rtern in den Firewalls bis hin zu Zertifikaten und Preshared Keys f\u00fcr IPsec-Tunnels tauschen. Da der FortiManager auch f\u00fcr MFA im VPN-Bereich eingesetzt werden kann, haben die Leute von der IT-Sicherheitsabteilung das AD-Passwort der betroffenen Benutzer vorsichtshalber getauscht.<\/p>\n Im konkreten Fall des Lesers waren es nur ca. 100 Benutzer von externen Zug\u00e4ngen, da das Unternehmen VPN f\u00fcr interne Mitarbeiter anderweitig absichert. Der Leser schreibt, dass das Schlimme an der ganzen Sache eher die Tatsache sei, wie Fortinet gewisse Funktionen, die im oben verlinkten Heise Artikel aufgef\u00fchrt sind, implementiert hat. Und diese werden noch als \"Best-practice\" f\u00fcr die Konfiguration empfohlen.<\/p>\n Der Leser zieht den Schluss, dass ein solches Desaster passieren musste und gibt an, dass er von mehreren 100.000 betroffenen FortiManager-Instanzen geh\u00f6rt habe (diese Zahl ist aber nicht mit Quelle belegt).<\/p>\n Auch die Kommunikationsstrategie von Fortinet bezeichnet der Leser als nicht sch\u00f6n. Laut seiner Aussage wurden nicht alle Kunden von Fortinet \u00fcber die Schwachstelle informiert. Einige Kunden haben die Probleme eher zuf\u00e4llig mitbekommen. Wie schaut es bei euch im IT-Umfeld aus? Wird der FortiManager eingesetzt und ist dort die Information \u00fcber die Schwachstelle vom Hersteller angekommen?<\/p>\n Ich hatte ja gerade den Beitrag\u00a0Smart Cities gegen Cyberattacken resilient machen<\/a> hier im Blog, wo Sicherheitsanbieter Check Point sch\u00f6ne Vorschl\u00e4ge aus der Theorie unterbreitet, wie das ganze Smart-Zeugs sicher gemacht werden solle. Der obige Abriss zeigt die Niederungen der Praxis, wo Cybersicherheit eher davon abh\u00e4ngt, ob der Zust\u00e4ndige zuf\u00e4lligerweise rechtzeitig durch Dienstleister oder \u00fcber Medien, falls er Zeit f\u00fcr eine aktive Lekt\u00fcre hat, informiert wird und gen\u00fcgend Zeit hat, ausreichend zu reagieren, bevor Cyberangreifer zuschlagen. Wie ist eure Einsch\u00e4tzung dazu? Kein Problem, alles im Griff? Oder \"die Praxis ist noch schlimmer als oben skizziert\"?<\/p>\n","protected":false},"excerpt":{"rendered":" Fortinet f\u00e4llt ja immer wieder durch kritische Schwachstellen im FortiManager oder anderen Produkten auf. Im Oktober 2024 musste Fortinet eine Schwachstelle im FortiManager schlie\u00dfen. Ein Blog-Leser hat mich Ende Oktober 2024 kontaktiert, um in einer Nachbetrachtung mal einige Eindr\u00fccke aus … Weiterlesen Zum 24. Oktober 2024 das Thread Intelligence-Team von Mandiant (Google) im Beitrag\u00a0Investigating FortiManager Zero-Day Exploitation (CVE-2024-47575)<\/a> \u00fcber eine Untersuchung einer ausgenutzten Schwachstelle berichtet. Es hei\u00dft, dass Mandiant im Oktober 2024 in Zusammenarbeit mit Fortinet die massenhafte Ausnutzung von FortiManager-Appliances auf \u00fcber 50 potenziell gef\u00e4hrdeten FortiManager-Ger\u00e4ten in verschiedenen Branchen untersuchte.<\/p>\n
Die IT im Unternehmen zwischen den Fronten<\/h2>\n