Mit zwei Fortinet-Updates kann man vier kritische Sicherheitslücken patchen
Zeit zu patchen: Wer FortiOS und/oder FortiSIEM nutzt, sollte seine Versionsnummer prüfen. In gewissen Versionen klaffen derzeit kritische Sicherheitslücken. Mindestens eine wird potenziell bereits ausgenutzt.

Sicherheitslücken in IT-Produkten sind nie ein Grund zur Freude - aber Schwachstellen in IT-Security-Produkten sind besonders arg. Genau davor warnt der vor allem für seine Firewalls bekannte US-amerikanische Hersteller Fortinet derzeit.
Demnach macht ein Problem in der SSL-VPN-Komponente des Betriebssystems FortiOS anfällig. Die als kritisch eingestufte Schwachstelle (CVE-2024-21762) wird gemäss Fortinet möglicherweise bereits von Cyberkriminellen ausgenutzt. Eine sogenannte Out-of-Bounds-Write-Schwachstelle im Betriebssystem könnte einem Angreifer ermöglichen, beliebigen Code oder Befehle über speziell gestaltete HTTP-Anfragen auszuführen, wie der Hersteller schreibt.
Noch mehr Lücken
Um die Lücke zu stopfen, empfiehlt Fortinet, auf eine aktuelle Version zu wechseln. Auf seiner Website listet der Hersteller sämtliche betroffenen und sicheren OS-Versionen.
Laut der Cybersecurity and Infrastructure Security Agency (CISA) der Vereinigten Staaten wird damit gleich noch eine weitere Sicherheitslücke (CVE-2024-23313) behoben. Ein Angreifer könnte die beiden Schwachstellen ausnutzen, um die Kontrolle über ein betroffenes System zu erlangen. Die Schwachstelle ist wohl noch so neu, dass NIST sie noch nicht listet, Mitre hingegen hat bereits einen Reservierungseintrag dafür.
Wie "Heise" berichtet, klaffen derzeit auch in der IT-Security-Lösung FortiSIEM zwei ebenfalls kritische Schwachstellen: CVE-2024-23108, CVE-2024-23109. Mittels speziellen API-Anfragen könnten Angreifer eigene Befehle ausführen. In den nachfolgenden Versionen sind Sicherheitspatches enthalten: 6.4.4, 6.5.3, 6.6.5, 7.2.0, 6.7.9, 7.0.3 und 7.1.2.
Übrigens: Vor genau einem Jahr hat Fortinet ebenfalls vor einer SSL-VPN-Schwachstelle gewarnt, wie Sie hier nachlesen können.

Was die SBB von ihren IT-Partnern erwarten

PXL Vision und Skribble vereinen Identifikation und qualifizierte Signatur

Katzenfutterwerbung à la Jurassic Park

Informatikzentrum des Bundes wird Cloud-Service-Broker

Schweizer Händler können auf Temu verkaufen – aber es gibt einen Haken

Sword Group übernimmt Genfer IT-Dienstleister Bubble Go

Unic übernimmt deutsche Digitalagentur Becklyn

Worldline ernennt neuen Schweiz-Chef

Check Point kauft Zürcher KI-Start-up Lakera
