Comretix Blog

Wir bieten aktuelle Informationen über uns und aus der IT Welt.

WTF: Sicherheitsforscher finden beim Nachstellen einer Lücke drei neue

"Manchmal hat man kein Glück und dann kommt auch noch Pech dazu", dieses geflügelte Wort aus der Fußballwelt dürfte den Entwicklern von Fortinet derzeit auf der Zunge liegen. In ihrem FortiManager, einer Verwaltungssoftware für FortiGate-Appliances, tauchten in den vergangenen Monaten immer wieder schwere Sicherheitslücken auf. Nun haben Sicherheitsforscher drei weitere entdeckt – ohne sie zu suchen.

Anzeige

Eine besonders heikle Sicherheitslücke namens "FortiJump" wurde vor wenigen Wochen veröffentlicht und schlug hohe Wellen, unter anderem in mehreren heise-Meldungen und einem empörten Jürgen Schmidt: "Zu den technischen Fehlern gesellt sich ein haarsträubendes Kommunikationsverhalten. Über Tage hinweg rätselten Sicherheitsforscher und auch Fortigate-Kunden, was es mit den Updates und den Gerüchten über aktive Angriffe auf FortiManager auf sich haben könnte", barmte der Gründer von heise security im Newsletter des Fachdienstes heise security PRO. Die Google-Tochter Mandiant konstatierte bereits am 24. Oktober eine massenhafte Ausnutzung, veranstaltete Webinare zum Thema und veröffentlichte "Indicators of Compromise" für die Suche nach Angreifern.

Die Sicherheitsexperten von Watchtowr Labs wollten den genannten Exploit (CVE-2024-47575) nun lediglich in einer kontrollierten Laborumgebung nachstellen. Doch ein ruhiger Experimentiernachmittag war ihnen nicht vergönnt, stattdessen sprang den überraschten Exploit-Testern eine weitere schwere Lücke ins Auge. Und – wer da hat, dem wird gegeben – zwei triviale Crashbugs gab's als Gratisbeigabe obendrein.

Der unterhaltsame und mit reichlich Meme-Material angereicherte Blogeintrag "Hop-Skip-FortiJump-FortiJump-Higher" des Watchtowr-Teams liest sich wie eine Abrechnung mit haarsträubend schlechten Sicherheitspraktiken bei einem Anbieter von Sicherheitsappliances: "Die niedrige Komplexität der Sicherheitslücken wirft die grundsätzliche Frage nach der FortiManager-Codequalität auf", konstatierten die Autoren und entschlossen sich zu dem ungewöhnlichen Schritt, die neu entdeckte Sicherheitslücke zu veröffentlichen, bevor sie von Fortinet gepatcht wurde.

Die neue Lücke "FortiJump Higher" erlaubt Angreifern, die einen Zugang zu einer FortiGate-Appliance erlangt haben, zur zuständigen FortiManager-Instanz zu springen und diese zu übernehmen. Der Fehler ist, so Watchtowr, "mit scharfem Hinsehen" im FortiManager-Quellcode zu finden. Ein APT kann also zunächst eine noch ungepatchte Firewall übernehmen, von da aus das zentrale Management kapern und dann bequem alle anderen Fortinet-Geräte unter seine Kontrolle bringen.

Anzeige

Wohlgemerkt – und hier merkt man dem Autor dieser Zeilen sein ungläubiges Erstaunen womöglich an – handelt es sich bei Fortinet-Geräten durchweg um solche, die die Sicherheit im Netz erhöhen sollen. Das und nur das ist ihre Aufgabe. Da ist es tief verunsichernd für Kunden, ein derart vernichtendes Urteil über die Sicherheitspraxis des Herstellers zu lesen.

Und das ist noch nicht zuende gesprochen: Bei der Suche nach der ursprünglichen "FortiJump"-Lücke stellten die Quellcode-Detektive nämlich fest, dass Fortinet diese womöglich "an der falschen Stelle, in der falschen Datei, in einer komplett anderen Bibliothek" repariert hatte. Das müsse einem nicht vollkommen dummen Angreifer auffallen, vermuteten sie, sobald dieser die "magische Spaghetti-Lösung" im Inneren des FortiManager untersuche. Und es werfe (rhetorische) Fragen auf: Etwa die, wie Fortinet die Reparatur der Lücke getestet habe. Ob sie zuvor lediglich Glückstreffer gelandet hätten. Und: Ob so echte IT-Sicherheit aussehe.

Das muss sich Fortinet tatsächlich fragen lassen. Wie kann es sein, dass Sicherheitsforscher am laufenden Band Lücken in denjenigen Appliances finden, die das dahinterliegende Netz schützen und dessen Wartung vereinfachen sollen? Der Hersteller sollte schleunigst mit transparenten Informationen um die Ecke kommen, sonst geht Kundenvertrauen unwiederbringlich verloren.

Und nicht nur bei Fortinet brennt es an allen Ecken und Enden, auch Palo Alto Expedition, ein ähnliches Werkzeug zur Konfiguration von Appliances, hat kritische Lücken und wird kurzerhand ganz abgeschafft, weil es offenbar nicht zu retten ist. Sophos hingegen installiert Backdoors auf den Geräten der eigenen Kunden und Ivanti ist sowieso Dauergast in der "Alert"-Rubrik unseres Newstickers.

Man möchte der Empfehlung des Watchtowr-Teams folgen und in eine Papiertüte schreien.

Jetzt heise Security Pro entdecken

Jetzt heise Security Pro entdecken

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

(Ursprünglich geschrieben von Dr. Christopher Kunz)
×
Stay Informed

When you subscribe to the blog, we will send you an e-mail when there are new updates on the site so you wouldn't miss them.

heise-Angebot: iX-Workshop: Sicherer Betrieb von W...
Mögliches Destatis-Datenleck soll keine Wahlauswir...
 

Kommentare

Derzeit gibt es keine Kommentare. Schreibe den ersten Kommentar!
Bereits registriert? Hier einloggen
Montag, 20. Januar 2025

Die Comretix GmbH ist ein IT Systemhaus aus Tuttlingen. Seit über 30 Jahren betreuen wir unsere Kunden in Baden-Württemberg, der Schweiz und im gesamten Bundesgebiet mit Leidenschaft, Fairness und Loyalität. Wir bauen auf eine zuverlässige Partnerschaft mit unseren Lieferanten und Kunden. Unseren Mitarbeitern stehen wir auf Augenhöhe gegenüber.

Image