Mit zwei Fortinet-Updates kann man vier kritische Sicherheitslücken patchen
Zeit zu patchen: Wer FortiOS und/oder FortiSIEM nutzt, sollte seine Versionsnummer prüfen. In gewissen Versionen klaffen derzeit kritische Sicherheitslücken. Mindestens eine wird potenziell bereits ausgenutzt.

Sicherheitslücken in IT-Produkten sind nie ein Grund zur Freude - aber Schwachstellen in IT-Security-Produkten sind besonders arg. Genau davor warnt der vor allem für seine Firewalls bekannte US-amerikanische Hersteller Fortinet derzeit.
Demnach macht ein Problem in der SSL-VPN-Komponente des Betriebssystems FortiOS anfällig. Die als kritisch eingestufte Schwachstelle (CVE-2024-21762) wird gemäss Fortinet möglicherweise bereits von Cyberkriminellen ausgenutzt. Eine sogenannte Out-of-Bounds-Write-Schwachstelle im Betriebssystem könnte einem Angreifer ermöglichen, beliebigen Code oder Befehle über speziell gestaltete HTTP-Anfragen auszuführen, wie der Hersteller schreibt.
Noch mehr Lücken
Um die Lücke zu stopfen, empfiehlt Fortinet, auf eine aktuelle Version zu wechseln. Auf seiner Website listet der Hersteller sämtliche betroffenen und sicheren OS-Versionen.
Laut der Cybersecurity and Infrastructure Security Agency (CISA) der Vereinigten Staaten wird damit gleich noch eine weitere Sicherheitslücke (CVE-2024-23313) behoben. Ein Angreifer könnte die beiden Schwachstellen ausnutzen, um die Kontrolle über ein betroffenes System zu erlangen. Die Schwachstelle ist wohl noch so neu, dass NIST sie noch nicht listet, Mitre hingegen hat bereits einen Reservierungseintrag dafür.
Wie "Heise" berichtet, klaffen derzeit auch in der IT-Security-Lösung FortiSIEM zwei ebenfalls kritische Schwachstellen: CVE-2024-23108, CVE-2024-23109. Mittels speziellen API-Anfragen könnten Angreifer eigene Befehle ausführen. In den nachfolgenden Versionen sind Sicherheitspatches enthalten: 6.4.4, 6.5.3, 6.6.5, 7.2.0, 6.7.9, 7.0.3 und 7.1.2.
Übrigens: Vor genau einem Jahr hat Fortinet ebenfalls vor einer SSL-VPN-Schwachstelle gewarnt, wie Sie hier nachlesen können.

Experten entwickeln KI-Verhaltenskodex für EU-Kommission

Sunrise lanciert Reise- und Cyberversicherung

Sicherheitsdemo im Middle-Earth-Stil

Zürcher Regierungsrat verschiebt Einführung elektronischer Verwaltungsverfahren

Update: Kanton Bern verlängert Frist für Steuererklärung wegen holprigem Behörden-Login

Cloudflare legt KI-Crawlern Steine in den Weg

Perplexity lanciert KI-Browser Comet

User unterschätzen Risiken von Biometrie und QR-Codes

Neue Android-Technik trickst Nutzer aus
