Fortinet hat Sicherheitsupdates für zahlreiche Produkte veröffentlicht. Eine der damit geschlossenen Schwachstellen gilt als kritisches Risko, zwei weitere haben den Bedrohungsgrad "hoch".
Am gravierendsten ist eine Sicherheitslücke in Fortiswitches, durch die Angreifer aus dem Netz ohne Authentifizierung Admin-Passwörter mit speziell präparierten Anfragen verändern können (CVE-2024-48887, CVSS 9.3, Risiko "kritisch"). Die Lücke schließen die Software-Stände 6.4.15, 7.0.11, 7.2.9, 7.4.5 oder 7.6.1 und neuere.
Zudem finden sich nicht zureichend Einschränkungen von erwünschten Endpunkten in Kommunikationskanälen. Das ermöglicht Angreifern in Man-in-the-Middle-Postion, sich als Verwaltungsinterface auszugeben, indem sie FGFM-Authentifizierungsanfragen zwischen den eigentlichen Endpunkten abfangen. Davon betroffen sind FortiOS, Fortiproxy, Fortimanager, Fortianalyzer, Fortivoice und Fortiweb (CVE-2024-26013, CVE-2024-50565, beide CVSS 7.1, Risiko "hoch"). In Fortiisolator können Angreifer mit "Super-Admin"-Profil und Zugriff auf die Kommandozeile über speziell präparierte HTTP-Anfragen Code einschleusen und unbefugt ausführen, was auf unzureichende Filterung von Elementen zurückgeht (CVE-2024-54024, CVSS 7.0, Risiko "hoch").
IT-Verantwortliche sollten die neuen Sicherheitsmitteilungen überprüfen und für in ihren Netzen eingesetzte Instanzen die verfügbaren Updates herunterladen und installieren oder gegebenenfalls die teils verfügbaren temporären Gegenmaßnahmen umsetzen, bis eine Aktualisierung möglich ist.
Fortiswitch - Unverified password change via set_password endpoint, CVE-2024-48887, CVSS 9.3, Risiko "kritisch"Fortianalyzer, Fortimanager, FortiOS, Fortiproxy, Fortiweb - No certificate name verification for fgfm connection, CVE-2024-26013+CVE-2024-50565, CVSS 7.1, hochFortiisolator - OS command injection on diagnose feature (GUI), CVE-2024-54024, CVSS 7.0, hochFortiweb - Directory Traversal, CVE-2025-25254, CVSS 6.8, mittelFortiisolator - OS command injection on gen-ca-cert command, CVE-2024-54025, CVSS 6.5, mittelFortiweb - Incorrect user management in widgets dashboard, CVE-2024-46671, CVSS 5.6, mittelFortianalyzer und Fortimanager - Log Pollution via login page, CVE-2024-52962, CVSS 5.0, mittelForticlient EMS can send javascript code to client through messages, CVE-2025-22855, CVSS 2.6, niedrigFortiOS - LDAP Clear-text credentials retrievable with IP modification, CVE-2024-32122, CVSS 2.1, niedrigCyberkriminelle attackieren regelmäßig Sicherheitslücken in Fortinet-Geräten, da diese in der Regel etwa Zugang zu Netzwerken ermöglichen. Daher sollten Admins nicht lange zögern, sondern die Updates rasch installieren.
(
Kommentare