Sicherheitslücke: Fortinet vergisst, Admin-Passwort zu prüfen

Ein peinlicher Fehler bei einem Sicherheitsunternehmen: Fortinets Webmanager hat das Admin-Passwort nicht korrekt geprüft und lässt daher jeden Nutzer mit beliebiger Zeichenfolge in das System. Ein Patch steht bereit.

Artikel veröffentlicht am ,
Das Admin-Passwort sollte man schon richtig prüfen!
Das Admin-Passwort sollte man schon richtig prüfen! (Bild: Alex E. Proimos/CC-BY 2.0)

Der Hersteller von Web Application Firewalls und anderen Sicherheitsprodukten Fortinet hat eine kritische Schwachstelle in seinen Appliances geschlossen. Nutzer sollten das Update auf Version 5.8.1 so schnell wie möglich installieren. Angreifer könnten über den verwundbaren Web-Manager Appliances wie Web Application Firewalls übernehmen. Es ist bei weitem nicht das erste Mal, dass Fortinet-Produkte massive Probleme bei der Sicherheit haben.

Stellenmarkt
  1. Software Entwickler:in (m/w/d) PL/SQL / .NET/vue.js
    DKMS gemeinnützige GmbH, Tübingen
  2. Application Engineer (w/m/d) mit Schwerpunkt Abbildung von Prüfungsordnungen
    Universität Passau, Passau
Detailsuche

Konkret betroffen ist die Version 5.8.0 des FortiWebManagers. Nach Angaben des Unternehmens wird das für den Admin-Zugang verwendete Passwort nicht korrekt geprüft und die Software "gewährt Zugang, ohne Ansehen des tatsächlich eingegebenen Strings", wie Fortinet selbst schreibt. Das BSI warnt in einer Kurzinformation vor einem hohen Angriffsrisiko.

Eine Historie kritischer Fehler und Backdoors

Fortinet hatte schon mehrfach mit gravierenden Lücken zu kämpfen. Immer wieder wurde dem Unternehmen vorgehalten, Backdoor-Zugänge anzubieten. Dagegen hatte Fortinet sich stets verwahrt. Tatsächlich gab es allerdings einen Standard-SSH-Zugang mit dem hardcodierten Passwort "FGTAbc11*xy+Qqz27" in Firewalls und anderen Produkten des Unternehmens.

Zuletzt war Fortinet auch vom DUHK-Angriff betroffen. Die Abkürzung steht für "Don't Use Hard-coded Keys". Zehntausende Appliances des Unternehmens benutzten den gleichen Schlüssel für den Zufallszahlengenerator ANSI X9.31. Ist der Schlüssel bekannt, können künftig erzeugte Zufallszahlen von einem Angreifer berechnet werden. Forscher fanden rund 25.000 verwundbare Fortinet-Geräte im Internet.

Golem Karrierewelt
  1. Adobe Photoshop Aufbaukurs: virtueller Zwei-Tage-Workshop
    01./02.12.2022, Virtuell
  2. Entwicklung mit Unity auf der Microsoft HoloLens 2 Plattform: virtueller Zwei-Tage-Workshop
    05./06.12.2022, Virtuell
Weitere IT-Trainings

Fortinet bedankt sich bei Abdulaziz Alrushaid von Saudi Aramco dafür, die Sicherheitslücke im Rahmen von Responsible Disclosure an das Unternehmen gemeldet zu haben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Ingwar 28. Nov 2017

Dir ist aber bewusst dass sowas Geld kostet? Das finden einige Aktionäre und Manager...

Ingwar 28. Nov 2017

Genau du würdest denjenigen kündigen. Danach kommt der nächste Mensch an diese Position...

Baron Münchhausen. 27. Nov 2017

Ich baue erfolgreich seit ca. 7 Jahren nur noch Fake Logins ein. Die meisten kommen nicht...

Lasse Bierstrom 25. Nov 2017

Als würde man auf einer Festung alle Türme und Mauern mit den besten Bogenschützen...



Aktuell auf der Startseite von Golem.de
Elektromobilität
Im Winter hat der ID.3 fast 30 Prozent weniger Reichweite

Der Verbrauch bei einem Elektroauto von VW schwankt über das Jahr ordentlich. Anders beim Verbrenner. Doch dessen Verbrauch ist ungleich höher.

Elektromobilität: Im Winter hat der ID.3 fast 30 Prozent weniger Reichweite
Artikel
  1. Digitale Dienste und Märkte: Wie DSA und DMA umgesetzt werden
    Digitale Dienste und Märkte
    Wie DSA und DMA umgesetzt werden

    Die Verordnungen über digitale Dienste und Märkte sind inzwischen in Kraft getreten. An ihrer Umsetzung können Interessenvertreter sich noch beteiligen.
    Ein Bericht von Friedhelm Greis

  2. Fit werden für die Cloud - zum halben Preis!
     
    Fit werden für die Cloud - zum halben Preis!

    Ohne Clouddienste geht heute in vielen Unternehmen nicht mehr viel. Die Golem Karrierewelt liefert unverzichtbares Cloud-Know-how mit 50 Prozent Black-Week-Rabatt.
    Sponsored Post von Golem Karrierewelt

  3. Cosmoteer im Test: Factorio im Weltraum
    Cosmoteer im Test
    Factorio im Weltraum

    Eine einzige Person hat über viele Jahre die Sandbox Cosmoteer entwickelt. Dort bauen wir Raumschiffe und kämpfen im All. Achtung, Suchtpotenzial!
    Ein Test von Oliver Nickel

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Black Friday bei Mindfactory, MediaMarkt & Saturn • Prime-Filme leihen für je 0,99€ • WD_BLACK SN850 1TB 129€ • GIGABYTE Z690 AORUS ELITE 179€ • SanDisk SSD Plus 1TB 59€ • Crucial P3 Plus 1TB 81,99 • Mindfactory: XFX Speedster ZERO RX 6900 XT RGB EKWB Waterblock LE 809€ [Werbung]
    •  /