Security

Schwachstelle CVE-2024-21762 in FortiOS

Angreifer nutzen Lücke bei Fortinet aus

13.02.2024
Von 
Peter Marwan lotet kontinuierlich aus, welche Chancen neue Technologien in den Bereichen IT-Security, Cloud, Netzwerk und Rechenzentren dem ITK-Channel bieten. Themen rund um Einhaltung von Richtlinien und Gesetzen bei der Nutzung der neuen Angebote durch Reseller oder Kunden greift er ebenfalls gerne auf. Da durch die Entwicklung der vergangenen Jahre lukrative Nischen für europäische Anbieter entstanden sind, die im IT-Channel noch wenig bekannt sind, gilt ihnen ein besonderes Augenmerk.
Alle Artikel des Autors
Email: Connect:
Die CISA warnt davor, dass die am Donnerstag offengelegte und als kritisch eingestufte Sicherheitslücke bereits für Angriffe ausgenutzt wird. Sie steckt in zalreichen Versionen von FortiOS und FortiProxy.
Fortinet fällt innerhalb kurzer Zeit zum zweiten Mal mit einer als kritisch eingestuften Sicherheitslücke in seinen Netzwerk-Security-Produkten auf.
Fortinet fällt innerhalb kurzer Zeit zum zweiten Mal mit einer als kritisch eingestuften Sicherheitslücke in seinen Netzwerk-Security-Produkten auf.
Foto: JHVEPhoto - shutterstock.com

Angreifer haben eine als "kritisch" eingestufte Schwachstelle in zahlreiche Versionen von FortiOS ausgenutzt, teilte die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) mit. Die Lücke mit der Kennung CVE-2024-21762 wurde mit 9,6 auf der bis 10 reichenden Skala eingestuft.

Am Donnerstag hatte Fortinet in einem Advisory die Sicherheitslücke CVE-2024-21762 eingeräumt und erklärt, dass sie "potenziell in freier Wildbahn ausgenutzt" werde. Bereits am Freitag wurde die Sicherheitslücke dann dem CISA-Katalog von Sicherheitslücken hinzugefügt, von denen bekannt ist, dass sie ausgenutzt wurden. "Ein Cyber-Bedrohungsakteur könnte diese Schwachstellen ausnutzen, um die Kontrolle über ein betroffenes System zu übernehmen", erklärte CISA in ihrem Advisory zu CVE-2024-23313.

Security-Anbieter Qualys hält den verfügbaren Exploit-Code für sehr ausgereift und weist darf hin, dass nach erfolgreicher Ausnutzung der Sicherheitslücke ein entfernter, nicht authentifizierter Angreifer über speziell gestaltete HTTP-Anfragen beliebigen Code oder Befehl ausführen könnte. Eine Interaktion mit einem Benutzer sei dazu nicht erforderlich.

Empfehlungen von Fortinet

Fortinet hat bereits Patches für die Lücke veröffentlicht. Die Sicherheitslücke findet sich in FortiOS 7.4, 7.2, 7.0, 6.4, 6.2 und 6.0 sowie FortiProxy 7.4, 7.2,7.0, 2.0, 1.2, 1.1 und 1.0. Systeme mit diesem Software-Stand sollten umgehend auf FortiOS 7.4.3 oder neuer beziehungsweise FortiProxy 7.4.3 oder höher aktualisiert werden. Als vorübergehender Workaround und Sofortmaßnahme ist die Abschaltung von SSL-VPN möglich.

CVE-2024-21762 als Teil eines größeren Problems

Fortinet ist damit innerhalb kurzer Zeit zum zweiten mal negativ in den Schlagzeilen. Anfang Februar wurde bereits bekannt, dass die wahrscheinlich von staatlichen chinesischen Stellen unterstützte Gruppe "Volt Typhoon" Netzwerkgeräte mehrerer US-amerikanischer Anbieter ausnutzt.

Bei Fortinet nannte die CISA als Beispiel einer "bestätigten Kompromittierung", einen Fall, bei dem der Einbruch ins Netzwerk wahrscheinlich durch die Ausnutzung der Lücke CVE-2022-42475 in einer nicht gepatchten FortiGate-300D-Firewall erfolgte. Neben Fortinet hatte "Volt Typhoon" aber auch Produkte von Cisco, Citrix, Netgear und Ivanti Connect Secure (ehemals Pulse Secure) erfolgreich ins Visier genommen.

Zur Startseite