Admins, die Netzwerke über FortiManager verwalten oder die Schutzlösung FortiAnalyzer von Fortinet einsetzen, sollten die Software auf den aktuellen Stand bringen. Geschieht dies nicht, könnten Angreifer nach erfolgreichen Attacken Schadcode mit Root-Rechten ausführen. Der Schwachstelle (CVE-2021-32589, „hoch“) betrifft fgfmsd daemon von FortiGate to FortiManager Protocol (FGFM). Hier könnte ein entfernter Angreifer ohne Authentifizierung ansetzen und durch präparierte Anfragen einen Speicherfehler (use after free) auslösen. Ist die Attacke erfolgreich, könnten Angreifer einer Warnmeldung zufolge Schadcode mit Root-Rechten ausführen. Das bringt Angreifer in Netzwerken in eine gefährliche Position, von der sie sich auf weitere Computer ausbreiten könnten. Fortinet weist darauf hin, dass FGFM auf FortiAnalyzer-Produkten standardmäßig nicht aktiv ist. Somit sind sie nicht verwundbar. Die Funktion lässt sich nur auf den Modellen 1000D, 1000E, 2000E, 3000D, 3000E, 3000F, 3500E, 3500F, 3700F und 3900E einschalten.

Die folgenden Versionen von FortiManager und FortiAnalyzer sind gegen solche Attacken abgesichert:

  • 5.6.11
  • 6.0.11
  • 6.2.8
  • 6.4.6
  • 7.0.1

Sollten FortiAnalyzer-Admins FGFM nutzen und derzeit keine gepatchte Version installieren können, sollten sie um Geräte abzusichern den Service über die folgenden Befehle deaktivieren:

config system global
set fmg-status disable
end

Quelle: Heise