“Manchmal hat man kein Glück und dann kommt auch noch Pech dazu”, dieses geflügelte Wort aus der Fußballwelt durch den Entwickler von Fortinet deritz auf der Zunge liegen. In ihrem FortiManager, ener Verwaltungssoftware for FortiGate-Appliances, tauchten in begegengen Monaten immer wieder schwere Sicherheitslücken auf. Now Sicherheitsforscher have discovered three more – ohne sie zu suchen.

Anzeige

One special name for Sicherheitslücke “FortiJump” will be a week to be better than well-being, under other parts of Jürgen Schmidt and part of Jürgen Schmidt: “Zu den tekniska Fehlern gesellt sich en haarsträubendes Communication supply and security regulations. auch Fortigate- The customer, where es with the updates and the Gerüchten über active Angriffe auf FortiManager auf sich haben könnte”, barmte der Gründer von heise security im Newsletter des Fachdienstes heise security PRO. Die Google-Tochter Mandiant constitutes itself on the 24th of October en massanhafte Ausnutzung, veranstaltete Webinare zum Thema and publichtete “Indicators of Compromise” for die Suche nach Angreifern.

Die Sicherheitsexperten of Watchtowr Labs wished the mentioned Exploit (CVE-2024-47575) nun einlichkeit in einer kontrollierten Laborumgebung nachstellen. Doch ein ruhiger Experimentiernachmittag war ihnen nicht vergönnt, instead the surprised Exploit-Tester ran eine weitere schwere Lücke ins Auge. Und – wer da hat, dem wird gegeben – zwei triviale Crashbugs gab’s as Gratisbeigabe obendrein.

Der unterhaltsame und mit reichlich Meme-Material angerreicherte Blog entry “Hop-Skip-FortiJump-FortiJump-Higher” des Watchtowr-Teams reads sich wie eine Abrechnung mit haarsträubend schlechten Sicherheitspraktiken bei einem Anbieter von Sicherheitsappliances: “Die niedrige Komplexität der Sicherheitslücken wirft die fundamental Frage nach der FortiManager-Codequalität auf”, constaterten die Authoren och entschlossen sich zu dem unusual Schritt, die neu discovere Sicherheitslücke zu veröffentlichen, bevor sie von Fortin.

Hochsprung auf Appliances

The new Lücke “FortiJump Higher” has Angreifern, the one Zugang zu ener FortiGate-Appliance has erlang, zur überbeschreibung FortiManager-Instanz zu springen och diese zu aufkehren. Der Fehler is, so Watchtowr, “mit scharfem Hinsehen” im FortiManager-Quellcode to finden. An APT can also take an unpatched Firewall, von da aus das centrale Management hijacker and dann bequem all other Fortinet-Geräte unter seine Kontrolle bringen.

Wohlgemerkt – und hier man dem dem Autor dieser Zeilen sein ungläubiges Erstaunen womöglich an – handelt es sich bei Fortinet-Geräten durchweg um solche, die die Sicherheit im Netz elhekenen sollen. Das und only das ist ihre Aufgabe. Da ist es tief verunsichernd für Kunden, ein derart vernichtendes Verteil über die Sicherheitspraxis des Herstellers zu lesen.

And then it is not possible to gesprochen: Bei der Suche nach der ursprungschen “FortiJump”-Lücke stellten die Quellcode-Detektive nämich fest, dass Fortinet diese womöglich “an der falschen Stelle, in der falschen Datei, in ener komplett anderen Bibliothek” repariert hat Das müsse einem nicht vollkommen dummen Angreifer auffallen, vermuteten sie, soudt dieser die “magische Spaghetti-Lösung” im Inneren des FortiManager untersuche. Und es werfe (rhetorische) Fragen auf: Etwa die, wie Fortinet die Reparatur der Lücke testest habe. Ob sie zuvor einlich Glückstreffer gelandet hehten. Und: Ob so genuine IT-Sicherheit aussehe.

Unsicherheits-Appliances?

Das muss sich Fortinet actually asked the question. Wie can you find that Sicherheitsforscher am laufenden Band Lücken in denjenigen Appliances finden, die das dahinterliegende Netz protect und dessen Wartung verinfachen sollen? Der Hersteller sollte schleunigst mit transparenten Informationen um die Ecke kommen, sonst geht Kundenvertrauen unwiederbringlich verloren.

Und nicht nur bei Fortinet brennt es an allen Ecken und Enden, auch Palo Alto Expedition, ein ichliches Werkzeug zur Konfiguration von Appliances, hat kritische Lücken and wird kurzerhand ganz abgeschafft, weil es offenbar nicht zu retten ist. Sophos hingegen installed Backdoors auf den Geräten der egenen Kunden and Ivanti ist sowieso Dauergast in der “Alert”-Rubrik unseres Newstickers.

Man möchte der Empfehlung des Watchtowr-Team folgen und in eine Papiertüte schreien.

(cc)