Neue, noch ungepatchte Sicherheitslücke in Fortinet Fortiweb

18. August 2021, 12:08
  • security
  • lücke
  • fortinet
  • rapid7
image

Fortinet ist gar nicht glücklich darüber, dass die Lücke bereits veröffentlicht wurde.

Ein Mitarbeiter des Security-Research-Unternehmens Rapid7 hat eine Sicherheitslücke im Fortiweb-Management-Interface entdeckt und Details dazu veröffentlicht
Um die Sicherheitslücke auszunutzen, müsste sich ein Angreifer zuerst bei einem System authentisieren, beispielsweise indem er eine andere Sicherheitslücke ausnutzt. Ist das geschafft, kann ein Hacker einem System via eine Command-Injection-Schwachstelle beliebige Befehle erteilen.

Auf dem falschen Fuss erwischt

Fortinet wurde von der Veröffentlichung dieser Sicherheitslücke auf dem falschen Fuss erwischt und ist gar nicht glücklich darüber. "Wir hatten erwartet, dass Rapid7 von einer Veröffentlichung absieht, bis unsere 'Responsible-Disclosure'-Periode von 90 Tagen abgelaufen ist." Diese 90-Tage-Frist sei in der eigenen Security Vulnerability Policy klar festgehalten. 
Fortinet hat mittlerweile angekündigt, dass Ende August ein Patch veröffentlicht werden wird. Solange dieser noch nicht erhältlich ist, sollten Anwender den Zugang zum Fortiweb-Interface vom Internet aus sperren, rät das Fortinet.

Kommunikationspanne?

Die Missstimmung zwischen den beiden Unternehmen könnte dadurch verursacht worden sein, dass beide ihre jeweiligen Veröffentlichungs-Policies nicht richtig angeschaut haben Rapid7 erklärt, man habe Fortinet am 10. Juni informiert. Eine Bestätigung, dass die Meldung registriert wurde, habe man kurz darauf erhalten. Danach allerdings, so sagte Tod Beardsley, Forschungschef bei Rapid7 zu 'ZDnet', habe man trotz mehrer Kontaktversuche nichts mehr von Fortinet gehört. 
Die eigene Disclosure-Policy von Rapid7 sehe vor, dass Schwachstellen frühestens 60 Tage nachdem man einen Hersteller kontaktiert habe, veröffentlicht werden können. Und nachdem man im Falle von Fortinet während 66 Tagen nichts mehr gehört habe, habe man dies halt getan.

Loading

Mehr zum Thema

image

Report: Githubs KI-Tool Copilot macht Code unsicherer

Das einst gross angekündigte Tool von Github schreibe eine Menge Lücken in Software, erklären Forscher aus den USA. Sie haben ihre Befunde an der Black-Hat-Konferenz präsentiert.

publiziert am 12.8.2022
image

Edöb besetzt weitere Stellen wegen der Revision des Datenschutzgesetzes

Derzeit sucht der Datenschutzbeauftragte einen Informatiker für die Leitung von Kontrollen. Im Rahmen des neuen DSG wurden 8 Vollzeitstellen gesprochen.

publiziert am 12.8.2022
image

Cyberattacken abwehren bis zum Burnout

Laut einer aktuellen Umfrage leidet fast die Hälfte aller Incident-Responder unter extremem Stress oder sogar Burnouts.

publiziert am 11.8.2022
image

Cisco bestätigt Cyberangriff

Der Angriff fand bereits im Mai statt, die Cyberkriminellen haben jetzt angeblich erbeutete Daten veröffentlicht. Cisco schildert den Ablauf detailliert.

publiziert am 11.8.2022