Update: Sicherheitslücke im FortiManager ausgenutzt
- Warnmeldung
© Vitalii Vodolazskyi - stock.adobe.com
Die Warnmeldung wurde am 29. Oktober 2024 aufgrund weiterführender Informationen aktualisiert.
Vollständige Gerätekompromittierung und Abfluss von Zugangsdaten möglich
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor dieser Schwachstelle im FortiManager von Fortinet. Über diese Sicherheitslücke können Angreifende einen RCE-Angriff (Remote Code Execution) durchführen. Bei einem solchen Angriff ist grundsätzlich eine vollständige Übernahme der Geräte möglich. Die Lücke wurde bereits aktiv ausgenutzt. Die erste Ausnutzung wurde am 27. Juni 2024 festgestellt.
Betroffen sind folgende Produkte:
- FortiManager 7.6.0
- FortiManager 7.4.4 und niedriger
- FortiManager 7.2.7 und niedriger
- FortiManager 7.0.12 und niedriger
- FortiManager 6.4.14 und niedriger
- FortiManager 6.2.12 und niedriger
- FortiManager Cloud 7.4.1 bis einschließlich 7.4.4
- FortiManager Cloud 7.2.1 bis einschließlich 7.2.7
- FortiManager Cloud 7.0.1 bis einschließlich 7.0.12
- FortiManager Cloud 6.4, alle Versionen – Migration notwendig
- Alte FortiAnalyzer-Modelle 1000E, 1000F, 2000E, 3000E, 3000F, 3000G, 3500E, 3500F, 3500G, 3700F, 3700G, 3900E mit aktiviertem FortiManager auf FortiAnalyzer sind ebenfalls betroffen, wenn mindestens eine Schnittstelle mit aktivem FGFM-Dienst vorhanden ist.
Die Version FortiManager Cloud 7.6 ist ausdrücklich nicht betroffen.
Das BSI bewertet die Sicherheitslücke CVE-2024-47575 mit dem höchstmöglichen CVSS-Base-Score 10.0.
Der FortiManager dient der Verwaltung von Fortinet-Geräten. Die Schwachstelle befindet sich im FGFM-Dämon (FortiGate to FortiManager). Fortinet entwickelt Produkte und Dienstleistungen im Bereich der Informationssicherheit. Hauptsitz des Unternehmens ist Sunnyvale in Kalifornien.
Bewertung des BSI
Die Sicherheitslücke ist als besonders kritisch einzustufen. Denn Angreifer können über sie auf die Verwaltung und Steuerung aller Geräte zugreifen, die mit dem FortiManager verbunden sind. Die Täter können so Sicherheitsmechanismen umgehen, auf geschützte interne Netzwerke und Ressourcen zugreifen und Zugangsdaten stehlen.
Empfehlungen des BSI
- Aktualisieren Sie den FortiManager, falls erforderlich, auf eine der folgenden Patches:
- FortiManager 7.6.1 und höher
- FortiManager 7.4.5 und höher
- FortiManager 7.2.8 und höher
- FortiManager 7.0.13 und höher
- FortiManager 6.4.15 und höher
- FortiManager Cloud 7.4.5 oder höher
- FortiManager Cloud 7.2.8 oder höher
- FortiManager Cloud 7.0.13 oder höher
- Aufgrund eines breiten Angriffs im September ist anzunehmen, dass Zugangsdaten und andere vertrauliche Informationen abgeflossen sind. Ändern Sie deshalb auf allen verwalteten Geräten die Zugangsdaten. Prüfen Sie außerdem, ob die Daten (möglicherweise unberechtigt) geändert wurden.
- Wenn Sie die Systeme nicht zeitnah aktualisieren können, verwenden Sie einen der Workarounds, die das BSI in seiner Cybersicherheitswarnung beschreibt (siehe Link unten).
- Prüfen Sie Ihre Systeme auf Kompromittierung. Verwenden Sie dazu die verfügbaren Kompromittierungsindikatoren (IoCs) (siehe Link unten).