Mit zwei Fortinet-Updates kann man vier kritische Sicherheitslücken patchen
Zeit zu patchen: Wer FortiOS und/oder FortiSIEM nutzt, sollte seine Versionsnummer prüfen. In gewissen Versionen klaffen derzeit kritische Sicherheitslücken. Mindestens eine wird potenziell bereits ausgenutzt.

Sicherheitslücken in IT-Produkten sind nie ein Grund zur Freude - aber Schwachstellen in IT-Security-Produkten sind besonders arg. Genau davor warnt der vor allem für seine Firewalls bekannte US-amerikanische Hersteller Fortinet derzeit.
Demnach macht ein Problem in der SSL-VPN-Komponente des Betriebssystems FortiOS anfällig. Die als kritisch eingestufte Schwachstelle (CVE-2024-21762) wird gemäss Fortinet möglicherweise bereits von Cyberkriminellen ausgenutzt. Eine sogenannte Out-of-Bounds-Write-Schwachstelle im Betriebssystem könnte einem Angreifer ermöglichen, beliebigen Code oder Befehle über speziell gestaltete HTTP-Anfragen auszuführen, wie der Hersteller schreibt.
Noch mehr Lücken
Um die Lücke zu stopfen, empfiehlt Fortinet, auf eine aktuelle Version zu wechseln. Auf seiner Website listet der Hersteller sämtliche betroffenen und sicheren OS-Versionen.
Laut der Cybersecurity and Infrastructure Security Agency (CISA) der Vereinigten Staaten wird damit gleich noch eine weitere Sicherheitslücke (CVE-2024-23313) behoben. Ein Angreifer könnte die beiden Schwachstellen ausnutzen, um die Kontrolle über ein betroffenes System zu erlangen. Die Schwachstelle ist wohl noch so neu, dass NIST sie noch nicht listet, Mitre hingegen hat bereits einen Reservierungseintrag dafür.
Wie "Heise" berichtet, klaffen derzeit auch in der IT-Security-Lösung FortiSIEM zwei ebenfalls kritische Schwachstellen: CVE-2024-23108, CVE-2024-23109. Mittels speziellen API-Anfragen könnten Angreifer eigene Befehle ausführen. In den nachfolgenden Versionen sind Sicherheitspatches enthalten: 6.4.4, 6.5.3, 6.6.5, 7.2.0, 6.7.9, 7.0.3 und 7.1.2.
Übrigens: Vor genau einem Jahr hat Fortinet ebenfalls vor einer SSL-VPN-Schwachstelle gewarnt, wie Sie hier nachlesen können.

Upgreat übergibt Führung nach 30 Jahren in neue Hände

Isolutions bekommt neuen CEO

Studierende entwickeln neuartiges Multimetall-3D-Druckverfahren

Die Post testet einen Roboterhund

Temenos-CEO tritt per sofort zurück

Inventx und 3ap treiben die Digitalisierung der Krankenkassen voran

Boll lässt die Goldenen Zwanziger wieder aufblühen

Diese Cybersecurity-Baustellen hat der Bund 2024 angepackt

Warum diese Maus ständig die Weltherrschaft plant
