Die Uhr tickt für Netzwerkadministratoren und IT-Sicherheitsexperten weltweit: Eine entscheidende Schwachstelle, bekannt als CVE-2024-47575 oder „FortiJump“, bedroht die Integrität von FortiManager-Systemen mit einem Schweregrad von 9,8 von 10. Dieses Versäumnis der Authentifizierung kritischer Funktionen im fgfmd-Daemon ermöglicht es Angreifern, aus der Ferne und ohne jegliche Authentifizierungsmaßnahmen schädlichen Code auszuführen. Mehrere Versionen von FortiManager sind betroffen, und es gibt bereits Berichte über aktive Ausnutzung dieser Schwachstelle, was angesichts der Rolle des FortiManager als zentralen Knotenpunkt für die Verwaltung von Netzwerksicherheitspolitiken, das Risiko exponentiell erhöht. Hier erfahren Sie, wie diese Schwachstelle Ihre Organisation in Gefahr bringen kann, und entdecken Sie die von Fortinet empfohlenen Maßnahmen, um Ihre Geräte und Daten vor unbefugtem Zugriff zu schützen. Die jüngst entdeckte Schwachstelle in Fortinet’s FortiManager hat die IT-Sicherheitsbranche in Alarmbereitschaf versetzt. Während Unternehmen auf kontinuierliche Bedrohungen gefasst sein müssen, ist die Entdeckung von „FortiJump“ besonders tragisch, da es gezielt eine zentrale Komponente vieler Sicherheitsstrategien angreift: den FortiManager.
FortiManager ist ein unverzichtbares Werkzeug für die Verwaltung der Fortinet Sicherheitsinfrastruktur. Es bietet Netzwerkadministratoren die Möglichkeit, zentral Geräte zu konfigurieren, Sicherheitsrichtlinien zu verwalten und detaillierte Berichte über die Netzwerknutzung zu erstellen. Diese Zentralisierung macht es allerdings auch zu einem attraktiven Ziel für Cyberkriminelle.
Details zur Sicherheitslücke
-
CVE-2024-47575 „FortiJump“: Diese Sicherheitslücke wird durch ein von Fortinet anerkanntes Problem verursacht. Der Schweregrad wird mit 9,8 von 10 bewertet, was die Dringlichkeit der Behebung unterstreicht.
-
Arten der Angriffe: Die Ausnutzung dieser Schwachstelle ermöglicht es, execute Arbitrary commands or Code auszuführen, ohne Authentifizierung – eine erschreckende Aussicht, die jede IT-Infrastruktur in Gefahr bringt.
-
Betroffene Versionen: Betroffen sind FortiManager-Versionen 7.x und 6.x sowie FortiManager Cloud 7.x und 6.x. Auch einige alte Modelle von FortiAnalyzer mit aktiviertem
fgfm-Dienst sind gefährdet.
Exploitation in der Wildnis
Die Angriffe in freier Wildbahn verdeutlichen, wie ernst diese Schwachstelle ist. Kriminelle Gruppen vervollkommnen ständig ihre Techniken, um in Unternehmensnetzwerke einzudringen.
Um diese Schwachstelle auszunutzen, benötigen Angreifer ein gültiges Fortinet-Gerätezertifikat. Erschreckend ist, dass solche Zertifikate von bestehenden Fortinet-Geräten gestohlen werden können. Dadurch erhalten Angreifer Zugang zu sensiblen Dateien des FortiManager-Servers wie IP-Adressen, Zugangsdaten und Konfigurationen von verwalteten Geräten, die wiederum verwendet werden können, um FortiGate-Geräte ins Visier zu nehmen und Zugang zu Unternehmensnetzwerken zu erlangen.
Wirkung auf Unternehmen
Der direkte Zugang zu Konfigurationsdaten und Anmeldeinformationen kann nicht nur eine umfangreiche Infiltration begünstigen, sondern auch die Möglichkeit eröffnen, Angriffe auf der Server-Infrastruktur voranzutreiben. Es drohen erhebliche Quellen-, Eigentums- und Datenverlust-Risiken.
Außerdem, während die Bedienstationssysteme bislang keine Anzeichen von Malware-Installationen oder Backdoors zeigten, bleibt das Software-Ökosystem durch Ausbeutung empfindlich angreifbar.
Betrugserkennung und Maßnahmen
Fortinet rät dazu, spezifische Log-Einträge zu untersuchen. Dazu gehören Log-Einträge, die die Ergänzung unregistrierter „localhost“-Geräte anzeigen, die genutzt werden können, um festzustellen, ob die Schwachstelle ausgenutzt wurde. Um Vorfälle zu erkennen:
- Implementieren Sie erweiterte Monitoring-Tools, um verdächtige Anmeldeversuche zu verfolgen.
- Verwenden Sie auditierende Anwendungen, um Anzeigen von Intrusionen zu erkennen.
Offizielle Reaktion von Fortinet
Fortinet reagierte schnell auf diese Bedrohung, indem es eine breite Palette von Maßnahmen und Empfehlungen für Kunden erarbeitete:
-
Registrierung unbekannter Geräte verhindern für FortiManager-Versionen 7.0.12 oder höher.
-
Lokale Policy-Einträge zur Allow-List für IP-Adressen der FortiGates hinzufügen, die sich verbinden dürfen, verfügbar für Version 7.2.0 und höher.
-
Verwendung eines benutzerdefinierten Zertifikats für Netzwerksicherheit ermöglicht es eine konsequentere Verschlüsselung und gesicherte Anmeldemöglichkeiten, bei Verfügbarkeit ab Version 7.2.2 und höher einsatztauglich.
Zusätzlich zu diesen Maßnahmen fordern Sicherheitsagenturen wie die US-amerikanische CISA Unternehmen auf, die bereitgestellten Patches bis spätestens Mitte November 2024 umzusetzen.
Schlussgedanken
In einer zunehmend digitalisierten Welt darf die Bedeutung von Cybersicherheit auf keinen Fall unterschätzt werden. Auch bei Fortgeschrittenheit der Schutzmechanismen dürfen Unternehmen nicht nachlässig werden, da Cyberkriminelle ihre Taktiken ebenfalls weiterentwickeln.
Die FortiManager-Schwachstelle „FortiJump“ ist ein starkes Erinnern an die allgegenwärtigen Gefahren im Netz und die Notwendigkeit robuster Sicherheitsmaßnahmen. Unternehmen müssen wachsam bleiben, eine wirksame Zusammenarbeit zwischen IT-Teams und Sicherheitsexperten fördern und auf kontinuierlicher Basis die neusten Software-Patches implementieren.
