Mit zwei Fortinet-Updates kann man vier kritische Sicherheitslücken patchen
Zeit zu patchen: Wer FortiOS und/oder FortiSIEM nutzt, sollte seine Versionsnummer prüfen. In gewissen Versionen klaffen derzeit kritische Sicherheitslücken. Mindestens eine wird potenziell bereits ausgenutzt.

Sicherheitslücken in IT-Produkten sind nie ein Grund zur Freude - aber Schwachstellen in IT-Security-Produkten sind besonders arg. Genau davor warnt der vor allem für seine Firewalls bekannte US-amerikanische Hersteller Fortinet derzeit.
Demnach macht ein Problem in der SSL-VPN-Komponente des Betriebssystems FortiOS anfällig. Die als kritisch eingestufte Schwachstelle (CVE-2024-21762) wird gemäss Fortinet möglicherweise bereits von Cyberkriminellen ausgenutzt. Eine sogenannte Out-of-Bounds-Write-Schwachstelle im Betriebssystem könnte einem Angreifer ermöglichen, beliebigen Code oder Befehle über speziell gestaltete HTTP-Anfragen auszuführen, wie der Hersteller schreibt.
Noch mehr Lücken
Um die Lücke zu stopfen, empfiehlt Fortinet, auf eine aktuelle Version zu wechseln. Auf seiner Website listet der Hersteller sämtliche betroffenen und sicheren OS-Versionen.
Laut der Cybersecurity and Infrastructure Security Agency (CISA) der Vereinigten Staaten wird damit gleich noch eine weitere Sicherheitslücke (CVE-2024-23313) behoben. Ein Angreifer könnte die beiden Schwachstellen ausnutzen, um die Kontrolle über ein betroffenes System zu erlangen. Die Schwachstelle ist wohl noch so neu, dass NIST sie noch nicht listet, Mitre hingegen hat bereits einen Reservierungseintrag dafür.
Wie "Heise" berichtet, klaffen derzeit auch in der IT-Security-Lösung FortiSIEM zwei ebenfalls kritische Schwachstellen: CVE-2024-23108, CVE-2024-23109. Mittels speziellen API-Anfragen könnten Angreifer eigene Befehle ausführen. In den nachfolgenden Versionen sind Sicherheitspatches enthalten: 6.4.4, 6.5.3, 6.6.5, 7.2.0, 6.7.9, 7.0.3 und 7.1.2.
Übrigens: Vor genau einem Jahr hat Fortinet ebenfalls vor einer SSL-VPN-Schwachstelle gewarnt, wie Sie hier nachlesen können.

Wie die Schweiz ihre digitalen Daten besser schützen kann

Schweizer Banken versagen bei Betrugsnotfällen

Update: Googles KI-Videotool Veo 3 kommt in die Schweiz

OpenAI sichert sich massive Cloud-Kapazitäten von Oracle

Ricoh holt neuen Channel-Verantwortlichen für die Schweiz an Bord

Cybergauner fluten die Schweiz mit Echtzeit-Phishing

UMB bündelt drei Standorte

Vom IT-Systemintegrator über den Trusted Adviser zum Digital-Transformation-Partner

ETH-Spin-off Tinamu ernennt neuen CTO
