Sicherheitslücke: Fortinet vergisst, Admin-Passwort zu prüfen
Ein peinlicher Fehler bei einem Sicherheitsunternehmen: Fortinets Webmanager hat das Admin-Passwort nicht korrekt geprüft und lässt daher jeden Nutzer mit beliebiger Zeichenfolge in das System. Ein Patch steht bereit.
Der Hersteller von Web Application Firewalls und anderen Sicherheitsprodukten Fortinet hat eine kritische Schwachstelle in seinen Appliances geschlossen. Nutzer sollten das Update auf Version 5.8.1 so schnell wie möglich installieren. Angreifer könnten über den verwundbaren Web-Manager Appliances wie Web Application Firewalls übernehmen. Es ist bei weitem nicht das erste Mal, dass Fortinet-Produkte massive Probleme bei der Sicherheit haben.
Konkret betroffen ist die Version 5.8.0 des FortiWebManagers. Nach Angaben des Unternehmens wird das für den Admin-Zugang verwendete Passwort nicht korrekt geprüft und die Software "gewährt Zugang, ohne Ansehen des tatsächlich eingegebenen Strings", wie Fortinet selbst schreibt. Das BSI warnt in einer Kurzinformation vor einem hohen Angriffsrisiko.
Eine Historie kritischer Fehler und Backdoors
Fortinet hatte schon mehrfach mit gravierenden Lücken zu kämpfen. Immer wieder wurde dem Unternehmen vorgehalten, Backdoor-Zugänge anzubieten. Dagegen hatte Fortinet sich stets verwahrt. Tatsächlich gab es allerdings einen Standard-SSH-Zugang mit dem hardcodierten Passwort "FGTAbc11*xy+Qqz27" in Firewalls und anderen Produkten des Unternehmens.
Zuletzt war Fortinet auch vom DUHK-Angriff betroffen. Die Abkürzung steht für "Don't Use Hard-coded Keys". Zehntausende Appliances des Unternehmens benutzten den gleichen Schlüssel für den Zufallszahlengenerator ANSI X9.31. Ist der Schlüssel bekannt, können künftig erzeugte Zufallszahlen von einem Angreifer berechnet werden. Forscher fanden rund 25.000 verwundbare Fortinet-Geräte im Internet.
Fortinet bedankt sich bei Abdulaziz Alrushaid von Saudi Aramco dafür, die Sicherheitslücke im Rahmen von Responsible Disclosure an das Unternehmen gemeldet zu haben.
Dir ist aber bewusst dass sowas Geld kostet? Das finden einige Aktionäre und Manager...
Genau du würdest denjenigen kündigen. Danach kommt der nächste Mensch an diese Position...
Ich baue erfolgreich seit ca. 7 Jahren nur noch Fake Logins ein. Die meisten kommen nicht...
Als würde man auf einer Festung alle Türme und Mauern mit den besten Bogenschützen...