Abo
  • Services:

Sicherheitslücke: Fortinet vergisst, Admin-Passwort zu prüfen

Ein peinlicher Fehler bei einem Sicherheitsunternehmen: Fortinets Webmanager hat das Admin-Passwort nicht korrekt geprüft und lässt daher jeden Nutzer mit beliebiger Zeichenfolge in das System. Ein Patch steht bereit.

Artikel veröffentlicht am ,
Das Admin-Passwort sollte man schon richtig prüfen!
Das Admin-Passwort sollte man schon richtig prüfen! (Bild: Alex E. Proimos/CC-BY 2.0)

Der Hersteller von Web Application Firewalls und anderen Sicherheitsprodukten Fortinet hat eine kritische Schwachstelle in seinen Appliances geschlossen. Nutzer sollten das Update auf Version 5.8.1 so schnell wie möglich installieren. Angreifer könnten über den verwundbaren Web-Manager Appliances wie Web Application Firewalls übernehmen. Es ist bei weitem nicht das erste Mal, dass Fortinet-Produkte massive Probleme bei der Sicherheit haben.

Stellenmarkt
  1. Stiegelmeyer GmbH & Co. KG, Herford
  2. über duerenhoff GmbH, Raum Norderstedt

Konkret betroffen ist die Version 5.8.0 des FortiWebManagers. Nach Angaben des Unternehmens wird das für den Admin-Zugang verwendete Passwort nicht korrekt geprüft und die Software "gewährt Zugang, ohne Ansehen des tatsächlich eingegebenen Strings", wie Fortinet selbst schreibt. Das BSI warnt in einer Kurzinformation vor einem hohen Angriffsrisiko.

Eine Historie kritischer Fehler und Backdoors

Fortinet hatte schon mehrfach mit gravierenden Lücken zu kämpfen. Immer wieder wurde dem Unternehmen vorgehalten, Backdoor-Zugänge anzubieten. Dagegen hatte Fortinet sich stets verwahrt. Tatsächlich gab es allerdings einen Standard-SSH-Zugang mit dem hardcodierten Passwort "FGTAbc11*xy+Qqz27" in Firewalls und anderen Produkten des Unternehmens.

Zuletzt war Fortinet auch vom DUHK-Angriff betroffen. Die Abkürzung steht für "Don't Use Hard-coded Keys". Zehntausende Appliances des Unternehmens benutzten den gleichen Schlüssel für den Zufallszahlengenerator ANSI X9.31. Ist der Schlüssel bekannt, können künftig erzeugte Zufallszahlen von einem Angreifer berechnet werden. Forscher fanden rund 25.000 verwundbare Fortinet-Geräte im Internet.

Fortinet bedankt sich bei Abdulaziz Alrushaid von Saudi Aramco dafür, die Sicherheitslücke im Rahmen von Responsible Disclosure an das Unternehmen gemeldet zu haben.



Anzeige
Hardware-Angebote
  1. 349,00€ (inkl. Call of Duty: Black Ops 4 & Fortnite Counterattack Set)
  2. (reduzierte Überstände, Restposten & Co.)
  3. 216,50€

Ingwar 28. Nov 2017

Dir ist aber bewusst dass sowas Geld kostet? Das finden einige Aktionäre und Manager...

Ingwar 28. Nov 2017

Genau du würdest denjenigen kündigen. Danach kommt der nächste Mensch an diese Position...

Baron Münchhausen. 27. Nov 2017

Ich baue erfolgreich seit ca. 7 Jahren nur noch Fake Logins ein. Die meisten kommen nicht...

Lasse Bierstrom 25. Nov 2017

Als würde man auf einer Festung alle Türme und Mauern mit den besten Bogenschützen...

ML82 25. Nov 2017

wie willst du sonst etwas verkaufen was noch nicht da ist? von der habenwirtschaft wurde...


Folgen Sie uns
       


Razer Hypersense angesehen (CES 2019)

Razer hat Vibrationsmotoren in Maus, Handballenablage und Stuhl verbaut - und wir haben uns auf der CES 2019 durchrütteln lassen.

Razer Hypersense angesehen (CES 2019) Video aufrufen
Magnetfeld: Wenn der Nordpol wandern geht
Magnetfeld
Wenn der Nordpol wandern geht

Das Erdmagnetfeld macht nicht das, was Geoforscher erwartet hatten - Nachjustierungen am irdischen Magnetmodell sind erforderlich.
Ein Bericht von Dirk Eidemüller

  1. Emotionen erkennen Ein Lächeln macht noch keinen Frohsinn
  2. Ökostrom Wie Norddeutschland die Energiewende vormacht
  3. Computational Periscopy Forscher sehen mit einfacher Digitalkamera um die Ecke

Tesla: Kleiner Gewinn, ungewisse Zukunft
Tesla
Kleiner Gewinn, ungewisse Zukunft

Tesla erzielt im vierten Quartal 2018 einen kleinen Gewinn. Doch mit Entlassungen, Schuldenberg, Preisanhebungen beim Laden, Wegfall des Empfehlungsprogramms und zunehmendem Wettbewerb durch andere Hersteller sieht die Zukunft des Elektroauto-Herstellers durchwachsen aus.
Eine Analyse von Dirk Kunde

  1. Tesla Model 3 Tesla macht alle Varianten des Model 3 günstiger
  2. Kundenprotest Tesla senkt Supercharger-Preise wieder
  3. Stromladetankstellen Tesla erhöht Supercharger-Preise drastisch

Android-Smartphone: 10 Jahre in die Vergangenheit in 5 Tagen
Android-Smartphone
10 Jahre in die Vergangenheit in 5 Tagen

Android ist erst zehn Jahre alt, doch die ersten Geräte damit sind schon Technikgeschichte. Wir haben uns mit einem Nexus One in die Zeit zurückversetzt, als Mobiltelefone noch Handys hießen und Nachrichten noch Bällchen zum Leuchten brachten.
Ein Erfahrungsbericht von Martin Wolf

  1. Sicherheitspatches Android lässt sich per PNG-Datei übernehmen
  2. Google Auf dem Weg zu reinen 64-Bit-Android-Apps
  3. Sicherheitslücke Mit Skype Android-PIN umgehen

    •  /