Netzwerkadmins, die IT-Sicherheitslösungen von Fortinet verwalten, sollten sicherstellen, dass die aktuellen Updates installiert sind. Derzeit macht Exploitcode die Runde und Angreifer werden FortiSIEM und FortiWeb mit hoher Wahrscheinlichkeit zeitnah attackieren. Erfolgreiche Attacken können weitreichende Folgen haben.
Gefährliche Sicherheitslücken
Beide Schwachstellen (FortiSIEM CVE-2025-25256 „kritisch„, FortiWeb CVE-2025-52970 „hoch„) haben die Fortinet-Entwickler am vergangenen Patchday geschlossen. Kurz darauf warnten sie davor, dass Exploitcode zum Ausnutzen der Lücke in FortiSIEM in Umlauf ist.
Weil bestimmte Eingaben nicht ausreichend überprüft werden, können Angreifer mit präparierten CLI-Anfragen an der Schwachstelle ansetzen. Klappt ein Angriff, können Angreifer eigenen Code ausführen. Dementsprechend ist davon auszugehen, dass Systeme im Anschluss vollständig kompromittiert sind.
FortiSIEM 7.4 soll einer Warnmeldung zufolge davon nicht betroffen sein. Die Ausgaben 6.7.10, 7.0.4, 7.1.8, 7.2.6 und 7.3.2 sind abgesichert. Der Support für FortiSIEM 6.2 bis 6.6 ist ausgelaufen, diese Versionen bekommen keine Sicherheitsupdates mehr. An dieser Stelle müssen Angreifer auf eine noch unterstützte Ausgabe upgraden.
Zugriff ohne Anmeldung
Nutzen Angreifer die Lücke in FortiWeb erfolgreich aus, können sie einen privaten Schlüssel manipulieren, um im Anschluss legitime Authentifizierungscookies zu erzeugen. Damit ausgerüstet, können sie dann sogar als Admin auf Instanzen zugreifen. Dafür hat ein Sicherheitsforscher nun Exploitcode veröffentlicht. Die Schwachstelle hat er FortMajeure getauft. In einem Blogbeitrag führt er technische Details aus.
(des)
Dieser Link ist leider nicht mehr gültig.
Links zu verschenkten Artikeln werden ungültig,
wenn diese älter als 7 Tage sind oder zu oft aufgerufen wurden.
Sie benötigen ein heise+ Paket, um diesen Artikel zu lesen. Jetzt eine Woche unverbindlich testen – ohne Verpflichtung!