Neue, noch ungepatchte Sicherheitslücke in Fortinet Fortiweb

18. August 2021, 12:08
  • security
  • lücke
  • fortinet
  • rapid7
image

Fortinet ist gar nicht glücklich darüber, dass die Lücke bereits veröffentlicht wurde.

Ein Mitarbeiter des Security-Research-Unternehmens Rapid7 hat eine Sicherheitslücke im Fortiweb-Management-Interface entdeckt und Details dazu veröffentlicht
Um die Sicherheitslücke auszunutzen, müsste sich ein Angreifer zuerst bei einem System authentisieren, beispielsweise indem er eine andere Sicherheitslücke ausnutzt. Ist das geschafft, kann ein Hacker einem System via eine Command-Injection-Schwachstelle beliebige Befehle erteilen.

Auf dem falschen Fuss erwischt

Fortinet wurde von der Veröffentlichung dieser Sicherheitslücke auf dem falschen Fuss erwischt und ist gar nicht glücklich darüber. "Wir hatten erwartet, dass Rapid7 von einer Veröffentlichung absieht, bis unsere 'Responsible-Disclosure'-Periode von 90 Tagen abgelaufen ist." Diese 90-Tage-Frist sei in der eigenen Security Vulnerability Policy klar festgehalten. 
Fortinet hat mittlerweile angekündigt, dass Ende August ein Patch veröffentlicht werden wird. Solange dieser noch nicht erhältlich ist, sollten Anwender den Zugang zum Fortiweb-Interface vom Internet aus sperren, rät das Fortinet.

Kommunikationspanne?

Die Missstimmung zwischen den beiden Unternehmen könnte dadurch verursacht worden sein, dass beide ihre jeweiligen Veröffentlichungs-Policies nicht richtig angeschaut haben Rapid7 erklärt, man habe Fortinet am 10. Juni informiert. Eine Bestätigung, dass die Meldung registriert wurde, habe man kurz darauf erhalten. Danach allerdings, so sagte Tod Beardsley, Forschungschef bei Rapid7 zu 'ZDnet', habe man trotz mehrer Kontaktversuche nichts mehr von Fortinet gehört. 
Die eigene Disclosure-Policy von Rapid7 sehe vor, dass Schwachstellen frühestens 60 Tage nachdem man einen Hersteller kontaktiert habe, veröffentlicht werden können. Und nachdem man im Falle von Fortinet während 66 Tagen nichts mehr gehört habe, habe man dies halt getan.

Loading

Mehr zum Thema

image

Cyberangriff auf die Uni Zürich

Die Angreifer scheinen äusserst professionell vorzugehen, erklärt die Zürcher Hochschule. Noch gebe es keine Hinweise, dass Daten verschlüsselt oder abgegriffen worden sind.

publiziert am 3.2.2023
image

So arbeiten Googles interne Hacker

Hoodies, Plasmalampen, digitale Brandstiftung. Daniel Fabian, Leiter von Googles Team Red, zeigt Praktiken seiner Hacker-Gruppe.

publiziert am 2.2.2023
image

Cyberangriff auf Adesso Deutschland

Kriminelle haben Systeme kompromittiert und Daten kopiert. Kundendaten sind laut dem IT-Dienstleister nicht abgeflossen.

publiziert am 2.2.2023
image

Rapid7 prüft offenbar einen Verkauf

Der Security-Anbieter erwägt laut Medienberichten Optionen für einen Verkauf. Dabei soll auch eine Übernahme durch Private-Equity-Investoren infrage kommen.

publiziert am 2.2.2023