Update: Sicherheitslücke im FortiManager ausgenutzt

- Warnmeldung

Durch eine kritische Schwachstelle im FortiManager ist eine vollständige Kompromittierung der damit verbundenen Geräte möglich. Updates sind verfügbar und sollten zeitnah eingespielt werden. Kompromittierungsindikatoren stehen ebenfalls zur Verfügung.
Fortinet-Logo auf Tablet-Bildschirm

© Vitalii Vodolazskyi - stock.adobe.com

Die Warnmeldung wurde am 29. Oktober 2024 aufgrund weiterführender Informationen aktualisiert. 

Vollständige Gerätekompromittierung und Abfluss von Zugangsdaten möglich

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor dieser Schwachstelle im FortiManager von Fortinet. Über diese Sicherheitslücke können Angreifende einen RCE-Angriff (Remote Code Execution) durchführen. Bei einem solchen Angriff ist grundsätzlich eine vollständige Übernahme der Geräte möglich. Die Lücke wurde bereits aktiv ausgenutzt. Die erste Ausnutzung wurde am 27. Juni 2024 festgestellt.

Betroffen sind folgende Produkte:

  • FortiManager 7.6.0
  • FortiManager 7.4.4 und niedriger
  • FortiManager 7.2.7 und niedriger
  • FortiManager 7.0.12 und niedriger
  • FortiManager 6.4.14 und niedriger
  • FortiManager 6.2.12 und niedriger
  • FortiManager Cloud 7.4.1 bis einschließlich 7.4.4
  • FortiManager Cloud 7.2.1 bis einschließlich 7.2.7
  • FortiManager Cloud 7.0.1 bis einschließlich 7.0.12
  • FortiManager Cloud 6.4, alle Versionen – Migration notwendig
  • Alte FortiAnalyzer-Modelle 1000E, 1000F, 2000E, 3000E, 3000F, 3000G, 3500E, 3500F, 3500G, 3700F, 3700G, 3900E mit aktiviertem FortiManager auf FortiAnalyzer sind ebenfalls betroffen, wenn mindestens eine Schnittstelle mit aktivem FGFM-Dienst vorhanden ist.

Die Version FortiManager Cloud 7.6 ist ausdrücklich nicht betroffen.

Das BSI bewertet die Sicherheitslücke CVE-2024-47575 mit dem höchstmöglichen CVSS-Base-Score 10.0.

Der FortiManager dient der Verwaltung von Fortinet-Geräten. Die Schwachstelle befindet sich im FGFM-Dämon (FortiGate to FortiManager). Fortinet entwickelt Produkte und Dienstleistungen im Bereich der Informationssicherheit. Hauptsitz des Unternehmens ist Sunnyvale in Kalifornien.

Bewertung des BSI

Die Sicherheitslücke ist als besonders kritisch einzustufen. Denn Angreifer können über sie auf die Verwaltung und Steuerung aller Geräte zugreifen, die mit dem FortiManager verbunden sind. Die Täter können so Sicherheitsmechanismen umgehen, auf geschützte interne Netzwerke und Ressourcen zugreifen und Zugangsdaten stehlen.

Empfehlungen des BSI

  • Aktualisieren Sie den FortiManager, falls erforderlich, auf eine der folgenden Patches:
    • FortiManager 7.6.1 und höher
    • FortiManager 7.4.5 und höher
    • FortiManager 7.2.8 und höher
    • FortiManager 7.0.13 und höher
    • FortiManager 6.4.15 und höher
    • FortiManager Cloud 7.4.5 oder höher
    • FortiManager Cloud 7.2.8 oder höher
    • FortiManager Cloud 7.0.13 oder höher
  • Aufgrund eines breiten Angriffs im September ist anzunehmen, dass Zugangsdaten und andere vertrauliche Informationen abgeflossen sind. Ändern Sie deshalb auf allen verwalteten Geräten die Zugangsdaten. Prüfen Sie außerdem, ob die Daten (möglicherweise unberechtigt) geändert wurden.
  • Wenn Sie die Systeme nicht zeitnah aktualisieren können, verwenden Sie einen der Workarounds, die das BSI in seiner Cybersicherheitswarnung beschreibt (siehe Link unten).
  • Prüfen Sie Ihre Systeme auf Kompromittierung. Verwenden Sie dazu die verfügbaren Kompromittierungsindikatoren (IoCs) (siehe Link unten).