Neue Softwarestände für FortiOS und FortiProxy dichten Schwachstellen ab, durch die Angreifer Schadcode einschleusen, Ihre Rechte ausweiten oder an sensible Informationen gelangen könnten. Eine der Lücken hat zwar ein zunächst niedrig eingeschätztes Risiko, wurde jedoch in der Praxis zum Einschleusen von Schadcode missbraucht, weshalb der Hersteller empfiehlt, die Geräte auf Spuren potenzieller Einbrüche zu untersuchen. Fortinet meldet insgesamt acht Sicherheitslücken:
- Einen Integer-Überlauf in der Speicherverwaltung des SSL-VPN hätten Angreifer missbrauchen können, um mit manipulierten Anfragen Daten auf dem Heap zu verwürfeln und so möglicherweise beliebigen Code auszuführen (CVE-2021-26109, Risikokategorie nach CVSS hoch).
- Durch fest einprogrammierte SSL-VPN Cookie-Verschlüsselungs-Keys hätten Angreifer diese aus der Firmware extrahieren können, wodurch sie unbefugt an Informationen gelangen könnten (CVE-2021-26108, hoch).
- Angemeldete Nutzer hätten ihre Rechte etwa durch manipulierte Automatisierungs-Skripte im autod-Daemon von FortiOS und FortiProxy zum Super-Admin ausweiten können (CVE-2021-26110, hoch).
- Durch eine sogenannte Path-Traversal-Schwachstelle in FortiOS und FortiProxy hätten unangemeldete Nutzer durch eingeschmuggelte Pfad-Zeichenketten in einen GET-Request an die Login-Seite sensible Informationen auslesen und so ihre Rechte ausweiten können (CVE-2021-41024, hoch).
- Durch einen Heap-basierten Pufferüberlauf bei der Signaturprüfung von Firmware-Images hätten Angreifer mittels präparierter Firmware-Abbilder beliebigen Code einschleusen können (CVE-2021-36173, hoch).
- Das SSL-VPN-Portal von FortiOS und FortiProxy war anfällig für Cross-Site-Request-Forgery (CSRF), wodurch Angreifer Zugriffskontrollen umgehen könnten (CVE-2021-26103, mittel).
- Ein Pufferüberlauf in der TFTP-Client-Bibliothek hätte angemeldeten Nutzern an der Kommandozeile ermöglicht, beliebigen Code auszuführen (CVE-2021-42757, mittel).
- Das Skript „restore src-vis“ konnte Code ohne Integritätsprüfung herunterladen. Lokal angemeldete Nutzer können so mit manipulierten Update-Paketen beliebigen Code auf die Maschinen holen. (CVE-2021-44168, niedrig).
Gerade bei der letztgenannten Sicherheitslücke scheint das praktische Risiko jedoch von der CVSS-Einstufung abzuweichen, da das Unternehmen ein darüber kompromittiertes Gerät aufgespürt hat. Die Sicherheitsmeldung von Fortinetbeschreibt, wie Administratoren von Lösungen des Herstellers überprüfen können, ob bei ihnen ein Einbruch stattgefunden und sich ein Angreifer ungebeten eingenistet hat. Es sind diverse FortiOS- (5er- bis 7er-Versionszweige) und FortiProxy-Versionen (1er-, 2er- und 7er-Versionen) jeweils teilweise von den Schwachstellen betroffen. Administratoren von Fortinet-Systemen sollten daher über die ihnen bekannten Wege die Aktualisierung auf den neuen, ausgebesserten Software-Stand anstoßen und die empfohlene Prüfung auf ungebetene Gäste vornehmen.