close notice<\/p>\n
\n This article is also available in It was translated with technical assistance and editorially reviewed before publication.\n <\/p>\n \n Don\u2019t show this again.\n<\/p>\n Fortinet nennt es zwar nicht Patchday, verteilt aber parallel zu dem Patchday-Datum mehrere Sicherheitsupdates f\u00fcr diverse Produkte. Hochriskante L\u00fccken finden sich etwa in FortiWeb, FortiManager und FortiClientLinux. Angreifer k\u00f6nnen Befehle einschleusen oder Brute-Force-Angriffe auf Zug\u00e4nge starten.<\/p>\n Weiterlesen nach der Anzeige<\/p>\n Die gravierendste Sicherheitsl\u00fccke betrifft FortiClientLinux. Aufgrund einer Link-Verfolgungs-Schwachstelle k\u00f6nnen lokale User ohne weitreichende Rechte ihre Berechtigungen auf root ausweiten (CVE-2026-24018<\/a>, CVSS 7.4, Risiko \u201ehoch\u201c). Unzureichende Pr\u00fcfung der Interaktionsfrequenz erm\u00f6glicht nicht authentifizierten Angreifern, das Authentifizierungs-Rate-Limit von FortiWeb mit manipulierten Anfragen auszuhebeln (CVE-2026-24017<\/a>, CVSS 7.3, Risiko \u201ehoch\u201c). Die Versionen FortiWeb 7.0.12, 7.2.12, 7.4.11, 7.6.6 und 8.0.3 oder jeweils j\u00fcngere korrigieren den Fehler. Im fgtupdates-Dienst von FortiManager kann beim Verarbeiten von manipulierten Anfragen an den Dienst durch nicht angemeldete Angreifer aus dem Netz ein Stack-basierter Puffer\u00fcberlauf auftreten, in dessen Folge sich Befehle einschleusen und ausf\u00fchren lassen (CVE-2025-54820<\/a>, CVSS 7.0, Risiko \u201ehoch\u201c). FortiManager 7.2.11 und 7.4.3 sowie neuere bessern die Schwachstelle aus; wer noch auf Stand 6.4 ist, muss auf neuere Fassungen aktualisieren. Sofern der fgtupdates-Dienst aktiviert ist, hilft alternativ auch einfach das Abschalten.<\/p>\n Fortinet listet noch 15 weitere Sicherheitsl\u00fccken auf:<\/p>\n MFA Bypass in GUI<\/a>, FortiAnalyzer (+Cloud), FortiManager (+Cloud) (CVE-2026-22572, CVSS 6.8, Risiko \u201emittel\u201c)OS Command injection in FortiWeb API<\/a>, FortiWeb (CVE-2025-66178, CVSS 6.7, Risiko \u201emittel\u201c)Format string vulnerability in fazsvcd<\/a>, FortiAnalyzer (+Cloud), FortiManager (+Cloud) (CVE-2025-68648, CVSS 6.5, Risiko \u201emittel\u201c)Privilege escalation using undocumented CLI command<\/a>, FortiAnalyzer (+Cloud), FortiManager (+Cloud) (CVE-2025-48418, CVSS 6.4, Risiko \u201emittel\u201c)Lack of TLS Certificate Validation during initial SSO Authentication<\/a>, FortiAnalyzer, FortiManager (CVE-2025-68482, CVSS 6.3, Risiko \u201emittel\u201c)Arbitrary file deletion in administrative interface<\/a>, FortiDeceptor (CVE-2026-25689, CVSS 6.0, Risiko \u201emittel\u201c)Stack buffer overflow in API<\/a>, FortiWeb (CVE-2026-30897, CVSS 5.9, Risiko \u201emittel\u201c)Stack-based Buffer Overflow in API protection<\/a>, FortiWeb (CVE-2026-24640, CVSS 5.9, Risiko \u201emittel\u201c)SQL injection in jsonrpc api<\/a>, FortiAnalyzer(+BigData) (CVE-2025-49784, CVSS 5.6, Risiko \u201emittel\u201c)Protected hostname bypass<\/a>, FortiWeb (CVE-2025-48840, CVSS 5.0, Risiko \u201emittel\u201c)XSS in LDAP server option<\/a>, FortiSandbox (CVE-2025-53608, CVSS 4.6, Risiko \u201emittel\u201c)Reflected Cross Site Scripting (XSS) in error page<\/a>, FortiSIEM (CVE-2026-25972, CVSS 4.1, Risiko \u201emittel\u201c)Insecure Exposure of Plaintext Passwords in Debug Logs<\/a>, FortiMail, FortiRecorder, FortiVoice (CVE-2025-55717, CVSS 3.8, Risiko \u201eniedrig\u201c)Authentication Lockout Bypass via Race Condition<\/a>, FortiAnalyzer (+Cloud), FortiManager (+Cloud) (CVE-2026-22629, CVSS 3.4, Risiko \u201eniedrig\u201c)Null Pointer Dereference in Anti-Defacement feature<\/a>, FortiWeb (CVE-2026-24641, CVSS 2.5, Risiko \u201eniedrig\u201c) SentinelOne hat derweil Analyse-Ergebnisse zu FortiGate-Firewall-Einbr\u00fcchen<\/a> ver\u00f6ffentlicht. Die IT-Forscher bem\u00e4ngeln darin zun\u00e4chst, dass als wiederkehrendes Muster betroffene Organisationen nicht gen\u00fcgend mitprotokollieren, was die Untersuchungen zu Zeitpunkt und genutzter Schwachstellen zum Eindringen verhindert. Der Zeitraum zwischen Einbruch in die Firewall und Kompromittierung weiterer Ger\u00e4te rangierte zwischen nahezu umgehend und zwei Monaten. Die Analysten erl\u00e4utern unter anderem, wie Angreifer Ger\u00e4tekonfigurationen ausforschen und etwa eigene Admin-Konten anlegen, mit denen sie sich persistenten Zugriff sichern. Vor der weiteren Verbreitung im Netz gab es lediglich zwischendurch Logins zum Pr\u00fcfen, ob der Zugriff noch besteht. SentinelOne sieht darin typisches Verhalten von Initial-Access-Brokern, die geknackte Zug\u00e4nge an Dritte verkaufen. Diese haben dann Maschinen ins AD verfrachtet und sich dar\u00fcber weiteren Zugriff auf das Netzwerk verschaffen wollen. Die Scans l\u00f6sten dann jedoch Sicherheitsalarme aus.<\/p>\n In einem anderen Fall haben die Angreifer ebenfalls einen lokalen Admin auf der geknackten FortiGate-Firewall angelegt und AD-Zugangsdaten daraus ausgelesen. Innerhalb der folgenden zehn Minuten haben die Angreifer sich mit dem AD-Admin-Konto in mehrere Server eingeloggt und Remote-Monitoring-und-Management-Tools (RMM) installiert. Bei Pulseway und MeshAgent handelt es sich den Autoren des Berichts zufolge um legitime Admin-Tools, die jedoch h\u00e4ufig von b\u00f6sartigen Akteuren eingesetzt werden. Die Angreifer installierten dann Malware, die sie von AWS-Cloudspeicher heruntergeladen hatten. Damit haben sie eine Volumenschattenkopie angelegt und daraus einige Daten an die Server der Angreifer \u00fcbertragen. Diese Vorf\u00e4lle zeigen, dass die kompromittierte Firewall tats\u00e4chlich f\u00fcr tiefgreifende Unterwanderung missbraucht wird.<\/p>\n Wer Fortinet-Produkte einsetzt, sollte die verf\u00fcgbaren Aktualisierungen also z\u00fcgig installieren. Die Schwachstellen in den Netzwerkprodukten stehen bei Cyberkriminellen hoch im Kurs und werden immer wieder rasch nach Bekanntwerden angegriffen<\/a>.<\/p>\n Weiterlesen nach der Anzeige<\/p>\n
\n English<\/a>.<\/p>\n
\nFortiGate-Firewall-Einbr\u00fcche f\u00fchren zu kompromittierten ADs<\/p>\n