Am 17. August 2021 berichtete das IT-Sicherheitsunternehmen Rapid7 in seinem Blog über eine Schwachstelle im Management Interface von Fortinets FortiWeb OS. Die damit verwaltete Web Application Firewall (WAF) Fortinet FortiWeb wird in vielen Organisationen zum Schutz von Webangeboten eingesetzt.
Dem Artikel zufolge kann ein authentifizierter Angreifer die Ausführung von Befehlen auf dem Gerät provozieren (eng. command injection) und die WAF somit vollständig übernehmen. In der Folge ist die Installation einer Shell oder von Schadsoftware denkbar. Exploit Code hat Rapid7 ebenfalls in seinem Blog veröffentlicht. Betroffen sind die FortiWeb OS Versionen 6.3.11 und älter. Mit einem CVSS-Score von 8.7 wird die Schwere der Sicherheitslücke als „hoch“ eingestuft. Ein Patch ist aktuell noch nicht verfügbar.
Zusätzliche Brisanz erhält der Sachverhalt in Verbindung mit der im Januar veröffentlichten Schwachstelle CVE-2020-29015. Damals war eine Möglichkeit bekannt geworden, die Authentifizierungsmechanismen von Fortinet FortiWeb zu umgehen. Für Geräte, auf denen seit diesem Zeitpunkt keine Updates mehr eingespielt wurden, könnte somit auch die o.g. Einschränkung für die Ausnutzung der nun gefundenen Sicherheitslücke entfallen.
Bewertung
Aufgrund der zentralen Bedeutung von Web Application Firewalls für die Sicherheitskonzepte von Webanwendungen geht das BSI im vorliegenden Fall von einer erheblichen Bedrohung aus. In Zusammenhang mit der schon länger bekannten Schwachstelle CVE-2020-29015 zeigt sich auch einmal mehr, wie Angreifer sich unzureichendes Patchmangement für die Verkettung mehrer Sicherheitslücken zu Nutze machen können.
Zum aktuellen Zeitpunkt hat Fortinet noch keinen Patch zur Verfügung gestellt. Betreiber sollten daher Schutzmechanismen etablieren, die einen unerlaubten Zugriff auf das Management Interface verhindern – zum Beispiel durch die Nutzung von VPN. Die ungeschützte Erreichbarkeit aus dem Internet ist in jedem Fall zu vermeiden.
www.bsi.bund.de