Fortinet hat kritische Schwachstellen in seinem Wireless LAN Manager (FortiWLM) behoben, die zu einer nicht authentifizierten Remote-Codeausführung (RCE) und der Offenlegung sensibler Informationen führen könnten. Die Patches veröffentlicht Adresse CVE-2023-34990 Und CVE-2023-48782die, wenn sie gemeinsam ausgenutzt werden, Angreifern unbefugten Zugriff gewähren können. Experten betonen die Dringlichkeit für Kunden, ihre Systeme zu aktualisieren.
Fortinet behebt kritische Schwachstellen im Wireless LAN Manager
Der identifizierte Fehler, CVE-2023-34990, hat einen CVSS-Score von 9,6 und wurde erstmals im März 2023 offengelegt. Er wird als „nicht authentifizierte Schwachstelle beim Lesen eingeschränkter Dateien“ kategorisiert. Zach Hanley, ein Sicherheitsforscher von Horizon3.ai, berichtete, dass die Schwachstelle auf eine unzureichende Eingabevalidierung der Anforderungsparameter zurückzuführen sei. Dieser Fehler ermöglicht es Angreifern, Verzeichnisse zu durchqueren und auf alle Protokolldateien im System zuzugreifen, wodurch möglicherweise vertrauliche Informationen wie Benutzersitzungs-IDs preisgegeben werden. Diese Protokolle sind in FortiWLM besonders ausführlich, was das Risiko bei Ausnutzung erhöht.
Die National Vulnerability Database (NVD) beschreibt, wie diese Schwachstelle dazu führen kann, dass über speziell gestaltete Webanfragen nicht autorisierter Code ausgeführt wird. Zu den betroffenen FortiWLM-Versionen gehören 8.6.0 bis 8.6.5, die in 8.6.6 und höher behoben wurden, und 8.5.0 bis 8.5.4, die in Version 8.5.5 oder höher behoben wurden. Angesichts der Bedeutung von Fortinet als Ziel für Cyberangriffe kann die Notwendigkeit eines schnellen Patchings gar nicht genug betont werden.
Das BADBOX-Botnetz infiziert weltweit über 192.000 Android-Geräte
Neben CVE-2023-34990 spielt auch eine separate Schwachstelle, CVE-2023-48782, eine entscheidende Rolle in der Exploit-Kette. Dieser authentifizierte Befehlsinjektionsfehler hat einen CVSS-Score von 8,8 und wurde im Vorjahr behoben. Hanley weist darauf hin, dass ein Angreifer in Kombination mit der nicht authentifizierten Sicherheitslücke bösartige Befehle mit Root-Rechten ausführen kann, indem er Befehle über einen bestimmten Endpunkt einschleust, was das System weiter gefährdet.
Kaspersky hat gemeldet Konkret wird eine weitere Schwachstelle im FortiClient EMS von Fortinet ausgenutzt CVE-2023-48788das einen CVSS-Score von 9,3 hat. Diese SQL-Injection-Schwachstelle ermöglicht es Angreifern, speziell gestaltete Datenpakete zu versenden und so nicht autorisierten Code auszuführen. Das Cybersicherheitsunternehmen dokumentierte im Oktober 2024 einen Angriff, der auf einen Windows-Server abzielte, auf dem FortiClient EMS gehostet wurde. Der Angriff nutzte offene Ports aus, um die Kontrolle über den Server zu erlangen, was zur Installation von Remote-Desktop-Software wie AnyDesk und ScreenConnect führte.
Berichten zufolge luden die Angreifer nach der ersten Sicherheitsverletzung zusätzliche Payloads zur seitlichen Bewegung, zum Sammeln von Anmeldeinformationen und zum Festlegen der Persistenz auf dem kompromittierten System hoch. Zu den in dieser Kampagne verwendeten Tools gehörten Malware zur Passwortwiederherstellung und zum Netzwerkscannen, wie Mimikatz und netscan.exe. Es wird darauf hingewiesen, dass die Kampagne verschiedene Unternehmen in mehreren Ländern ins Visier genommen hat, was die globale Reichweite und Komplexität dieser Cyber-Bedrohungen offenbart.
Kaspersky hat weitere Versuche beobachtet, CVE-2023-48788 zu einer Waffe zu machen, einschließlich der Ausführung von PowerShell-Skripten von kompromittierten Servern, um Antworten von anderen anfälligen Zielen zu sammeln. Diese Bemühungen weisen auf sich weiterentwickelnde Angriffsmethoden und anhaltende Risiken für Unternehmen hin, die Fortinet-Produkte verwenden. Die ersten Offenlegungen von Forescout zu Beginn des Jahres gemeldet ein ähnliches Ausnutzungsmuster mit derselben Schwachstelle bei der Bereitstellung von Fernzugriffstools.
Unternehmen, die die Systeme von Fortinet nutzen, müssen der Aktualisierung und dem Patchen ihrer Ausrüstung Priorität einräumen, um die mit diesen Schwachstellen verbundenen Risiken zu mindern. Es ist immer noch unklar, in welchem Ausmaß diese Schwachstellen weltweit bereits ausgenutzt wurden, weshalb Administratoren unbedingt wachsam bleiben müssen.
Hervorgehobener Bildnachweis: Kerem Gülen/Midjourney
