Sicherheitslücke: Fortinet vergisst, Admin-Passwort zu prüfen

Ein peinlicher Fehler bei einem Sicherheitsunternehmen: Fortinets Webmanager hat das Admin-Passwort nicht korrekt geprüft und lässt daher jeden Nutzer mit beliebiger Zeichenfolge in das System. Ein Patch steht bereit.

Artikel veröffentlicht am ,
Das Admin-Passwort sollte man schon richtig prüfen!
Das Admin-Passwort sollte man schon richtig prüfen! (Bild: Alex E. Proimos/CC-BY 2.0)

Der Hersteller von Web Application Firewalls und anderen Sicherheitsprodukten Fortinet hat eine kritische Schwachstelle in seinen Appliances geschlossen. Nutzer sollten das Update auf Version 5.8.1 so schnell wie möglich installieren. Angreifer könnten über den verwundbaren Web-Manager Appliances wie Web Application Firewalls übernehmen. Es ist bei weitem nicht das erste Mal, dass Fortinet-Produkte massive Probleme bei der Sicherheit haben.

Stellenmarkt
  1. IT-Systemadministrator (m/w/d) für Linux-basierte Server-Umgebungen und Arbeitsplatzrechner
    energy & meteo systems GmbH, Oldenburg
  2. Release Manager*in (m/w/d)
    Deutscher Fußball-Bund (DFB), Frankfurt
Detailsuche

Konkret betroffen ist die Version 5.8.0 des FortiWebManagers. Nach Angaben des Unternehmens wird das für den Admin-Zugang verwendete Passwort nicht korrekt geprüft und die Software "gewährt Zugang, ohne Ansehen des tatsächlich eingegebenen Strings", wie Fortinet selbst schreibt. Das BSI warnt in einer Kurzinformation vor einem hohen Angriffsrisiko.

Eine Historie kritischer Fehler und Backdoors

Fortinet hatte schon mehrfach mit gravierenden Lücken zu kämpfen. Immer wieder wurde dem Unternehmen vorgehalten, Backdoor-Zugänge anzubieten. Dagegen hatte Fortinet sich stets verwahrt. Tatsächlich gab es allerdings einen Standard-SSH-Zugang mit dem hardcodierten Passwort "FGTAbc11*xy+Qqz27" in Firewalls und anderen Produkten des Unternehmens.

Zuletzt war Fortinet auch vom DUHK-Angriff betroffen. Die Abkürzung steht für "Don't Use Hard-coded Keys". Zehntausende Appliances des Unternehmens benutzten den gleichen Schlüssel für den Zufallszahlengenerator ANSI X9.31. Ist der Schlüssel bekannt, können künftig erzeugte Zufallszahlen von einem Angreifer berechnet werden. Forscher fanden rund 25.000 verwundbare Fortinet-Geräte im Internet.

Golem Akademie
  1. Kotlin für Java-Entwickler: virtueller Zwei-Tage-Workshop
    14.–15. Oktober 2021, Virtuell
  2. Terraform mit AWS: virtueller Zwei-Tage-Workshop
    14.–15. Dezember 2021, Virtuell
Weitere IT-Trainings

Fortinet bedankt sich bei Abdulaziz Alrushaid von Saudi Aramco dafür, die Sicherheitslücke im Rahmen von Responsible Disclosure an das Unternehmen gemeldet zu haben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Ingwar 28. Nov 2017

Dir ist aber bewusst dass sowas Geld kostet? Das finden einige Aktionäre und Manager...

Ingwar 28. Nov 2017

Genau du würdest denjenigen kündigen. Danach kommt der nächste Mensch an diese Position...

Baron Münchhausen. 27. Nov 2017

Ich baue erfolgreich seit ca. 7 Jahren nur noch Fake Logins ein. Die meisten kommen nicht...

Lasse Bierstrom 25. Nov 2017

Als würde man auf einer Festung alle Türme und Mauern mit den besten Bogenschützen...

Anonymer Nutzer 25. Nov 2017

wie willst du sonst etwas verkaufen was noch nicht da ist? von der habenwirtschaft wurde...



Aktuell auf der Startseite von Golem.de
Amazon, Apple, Google
Die EU macht ernst mit der Plattformregulierung

Die stärkere Regulierung von großen IT-Plattformen rückt näher. Die EU-Mitgliedstaaten unterstützen weitgehend die Pläne der EU-Kommission.
Ein Bericht von Friedhelm Greis

Amazon, Apple, Google: Die EU macht ernst mit der Plattformregulierung
Artikel
  1. Nikon Z 9: Nikon stellt 8K-Vollformatkamera für 6.000 Euro vor
    Nikon Z 9
    Nikon stellt 8K-Vollformatkamera für 6.000 Euro vor

    Mit der Z 9 will Nikon sowohl Fotografen als auch Videofilmer glücklich machen: Die Vollformatkamera kann 8K-Filme mit 60 fps aufnehmen.

  2. S9U fürs Homeoffice: Samsung stellt 49-Zoll-Ultrawide-Monitor mit KVM-Switch vor
    S9U fürs Homeoffice
    Samsung stellt 49-Zoll-Ultrawide-Monitor mit KVM-Switch vor

    Der S9U ist Samsungs neuer 32:9-Bildschirm. Er integriert USB-C mit 90 Watt Power Delivery und einen KVM-Switch. Das Panel schafft 120 Hz.

  3. XTurismo: Fliegendes Jetski aus Japan für knapp 600.000 Euro
    XTurismo
    Fliegendes Jetski aus Japan für knapp 600.000 Euro

    Wo auch immer man sie fliegen dürfen wird, Multikopter für den Personentransport sind im Kommen. Dieses Flugobjekt stammt aus Japan.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • WD Black SN750 1TB 89,90€ • PS5 Digital Edition + 2. Dualsense + 100€-Amazon-Gutschein mit o2-Vertrag sofort lieferbar • Switch OLED + Metroid Dread 399€ • Kingston 1TB PCIe-SSD 69,90€ • GTA Trilogy Definitive 59,99€ • Alternate (u. a. Apacer 960GB SATA-SSD 82,90€) [Werbung]
    •  /