![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
[English]Ich stelle mal eine Information in den Blog, die mir von einem Leser zugegangen ist (danke daf\u00fcr). Kunden, die Fortinet-Produkte von der Telekom mit administrieren lassen, sind vermutlich von einer Schwachstelle im FortiManager tangiert. Die Telekom informiert Kunden \u00fcber einen m\u00f6glichen Datenabfluss \u00fcber deren zentrale Admin-Oberfl\u00e4che f\u00fcr Fortigate.<\/p>\n
<\/p>\n
Telekom SD-WAN auf Basis Fortinet ist Bestandteil des voll integrierten Security \u00d6kosystems mit einem zentralen Management, wirbt der Anbieter – also eine L\u00f6sung aus einer Hand, wo sich der Kunde nicht um die Fortinet-Infrastruktur k\u00fcmmern muss.<\/p>\n Zum 30. Oktober 2024 hat Fortinet den Sicherheitshinweis\u00a0Fortinet Updates Guidance and Indicators of Compromise following FortiManager Vulnerability Exploitation<\/a> zum FortiManager ver\u00f6ffentlicht.<\/p>\n Fortinet hat seinen Sicherheitshinweis zu einer kritischen FortiManager-Schwachstelle (CVE-2024-47575) aktualisiert und dabei zus\u00e4tzliche Umgehungsm\u00f6glichkeiten und Kompromissindikatoren (IOCs) hinzugef\u00fcgt. Ein nicht authentifizierter Cyber-Bedrohungsakteur k\u00f6nnte diese Schwachstelle remote ausnutzen, um Zugriff auf sensible Dateien zu erhalten oder die Kontrolle \u00fcber ein betroffenes System zu \u00fcbernehmen. Fortinet hatte Mitte Oktober 2024 Patches zum Schlie\u00dfen der Schwachstelle ver\u00f6ffentlicht.<\/p>\n Ein Blog-Leser, der Kunde bei der Deutsche Telekom ist und die obige Fortinet-L\u00f6sung nutzt, hat sich per E-Mail bei mir gemeldet (danke daf\u00fcr). Er wurde von der Telekom zum 7. November 2024 \u00fcber \"einen Datenabfluss\" informiert. Der Meldung entnehme ich, dass Fortinet am 23. Oktober 2024 eine Sicherheitsl\u00fccke in Bezug auf das Produkt FortiManager gemeldet und einen entsprechenden Patch bereitgestellt hat.<\/p>\n Laut Telekom-Mitteilung wurde der Patch zum Schlie\u00dfen der Schwachstelle unmittelbar, d.h. bereits am 24. Oktober 2024, installiert. Aber es gab eine Kompromittierung, die die Telekom auf Grund eigener\u00a0forensischer Untersuchungen festgestellt hat.<\/p>\n Bereits rund einen Monat (am 22. und 23. September 2024) bevor Fortinet seine Schwachstelle ver\u00f6ffentlicht hat, sind zwei unautorisierte Zugriffe auf den zentralen FortiManager der Deutsche Telekom erfolgt. Daf\u00fcr wurde die mittlerweile geschlossene Sicherheitsl\u00fccke genutzt. Bei diesen Zugriffen k\u00f6nnten auf dem zentralen System abgespeicherte Informationen abgeflossen sein.\u00a0Fortinet hat die Telekom informiert, dass die Angreifer auf folgende Daten zugegriffen haben k\u00f6nnen:<\/p>\n Also quasi die Kronjuwelen der Kunden. Die Telekom schreibt: \"Da die Firewall-Komponenten, die wir f\u00fcr Sie betreiben, \u00fcber den zentralen FortiManager administriert werden, werden wir maximale Vorsicht walten lassen und s\u00e4mtliche Eventualit\u00e4ten ausschlie\u00dfen.\"<\/p>\n Die Telekom fordert Kunden zur Sicherung der Firewalls auf, alle oben genannten Passw\u00f6rter und Schl\u00fcssel auf der Kunden-Firewall (sofern diese die Firewall selbst administrieren) zu \u00e4ndern. Sollten diese Passw\u00f6rter und Schl\u00fcssel auch an anderer Stelle verwendet worden sein, sind diese ebenfalls zu \u00e4ndern.<\/p>\n F\u00fcr alle Firewalls, die durch die Telekom administriert werden, f\u00fchrt diese die notwendigen Ma\u00dfnahmen in Abstimmung mit den Kunden durch. Die Telekom gibt an, bereits s\u00e4mtliche User Accounts f\u00fcr alle Firewalls erneuert, die administrativen User Accounts f\u00fcr den zentralen FortiManager, sowie f\u00fcr die Radius-Zug\u00e4nge ge\u00e4ndert zu haben.<\/p>\n Mitteilung der Deutsche Telekom – Information \u00fcber Ma\u00dfnahmen zur Schlie\u00dfung der Sicherheitsl\u00fccke Fortinet FortiManager<\/strong><\/p>\n Sehr geehrte Damen und Herren,<\/p>\n seit unser Lieferant Fortinet am 23. Oktober 2024 eine Sicherheitsl\u00fccke in Bezug auf das Produkt FortiManager gemeldet und einen entsprechenden Patch bereitgestellt hat, beobachten wir die Situation sehr aufmerksam. Zwar haben wir diesen Patch – wie vom Hersteller empfohlen \u2013 unmittelbar am 24. Oktober entsprechend eingesetzt. Aus heutiger Sicht m\u00f6chten wir Sie dennoch bitten, unverz\u00fcglich weitere Ma\u00dfnahmen zu ergreifen.<\/p>\n Wir haben mit eigenen forensischen Untersuchungen festgestellt, dass bereits rund einen Monat bevor Fortinet seine Schwachstelle ver\u00f6ffentlicht hat, zwei unautorisierte Zugriffe auf unseren zentralen FortiManager erfolgt sind (22. und 23. September 2024). Daf\u00fcr wurde die mittlerweile geschlossene Sicherheitsl\u00fccke genutzt. Bei diesen Zugriffen k\u00f6nnten auf dem zentralen System abgespeicherte Informationen abgeflossen sein. Wir haben Fortinet hierzu kontaktiert. Das Unternehmen gibt an, dass es sich dabei um folgende Daten handeln k\u00f6nnte:<\/p>\n Admin Users Accounts Da die Firewall-Komponenten, die wir f\u00fcr Sie betreiben, \u00fcber den zentralen FortiManager administriert werden, werden wir maximale Vorsicht walten lassen und s\u00e4mtliche Eventualit\u00e4ten ausschlie\u00dfen.<\/p>\n Um Ihre Firewall vor unautorisierten Zugriffen zu sch\u00fctzen, \u00e4ndern Sie bitte alle der oben genannten Passw\u00f6rter und Schl\u00fcssel auf Ihrer Firewall (sofern Sie Ihre Firewall selbst administrieren). Sollten diese Passw\u00f6rter und Schl\u00fcssel auch an anderer Stelle verwendet worden sein, sind diese ebenfalls zu \u00e4ndern.<\/p>\n F\u00fcr alle Firewalls, die durch die Telekom administriert werden, f\u00fchren wir die notwendigen Ma\u00dfnahmen in Abstimmung mit Ihnen durch.<\/p>\n Wir haben unsererseits bereits s\u00e4mtliche User Accounts f\u00fcr alle Firewalls erneuert, die administrativen User Accounts f\u00fcr den zentralen FortiManager, sowie f\u00fcr die Radius-Zug\u00e4nge ge\u00e4ndert.<\/p><\/blockquote>\n N\u00e4here Details \u00fcber diese Sicherheitsl\u00fccke finden sich hier<\/a> oder hier<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":" [English]Ich stelle mal eine Information in den Blog, die mir von einem Leser zugegangen ist (danke daf\u00fcr). Kunden, die Fortinet-Produkte von der Telekom mit administrieren lassen, sind vermutlich von einer Schwachstelle im FortiManager tangiert. Die Telekom informiert Kunden \u00fcber einen … Weiterlesen Die Deutsche Telekom bietet f\u00fcr Business-Kunden SD-WAN auf Basis Fortinet<\/em> an und wirbt<\/a> mit einer \"umfassenden Sicherheitsstrategie f\u00fcr die Digitalisierung Ihres Netzwerkes\".<\/p>\n
![\"Telekom](\"https:\/\/i.postimg.cc\/gkBy8c8Z\/image.png\")
<\/p>\nFortiManager-Schwachstelle CVE-2024-47575<\/h2>\n
Es hat bei der Telekom gescheppert<\/h2>\n
\n
\n
\nCertificate's private key and password (In case of ssl offloading\/deep inspection\/ipsec auth)
\nVPN Pre-Shared Keys
\nLocal user accounts
\nTACACS Key
\nLDAP \/ Active Directory Passwords
\nRADIUS Secret Keys
\nSNMP Secrets
\nOSPF\/BGP Neighbour Passwords
\nWireless SSID \/ Mesh Keys
\nPasswords stored inside automation stitches
\nPPPoE Passwords
\nSMTP Passwords
\nHA Pre-shared Keys Cluster Password
\nKonfigurationsdaten der Firewall<\/p>\n