Abo
  • IT-Karriere:

Sicherheitslücke: Fortinet vergisst, Admin-Passwort zu prüfen

Ein peinlicher Fehler bei einem Sicherheitsunternehmen: Fortinets Webmanager hat das Admin-Passwort nicht korrekt geprüft und lässt daher jeden Nutzer mit beliebiger Zeichenfolge in das System. Ein Patch steht bereit.

Artikel veröffentlicht am ,
Das Admin-Passwort sollte man schon richtig prüfen!
Das Admin-Passwort sollte man schon richtig prüfen! (Bild: Alex E. Proimos/CC-BY 2.0)

Der Hersteller von Web Application Firewalls und anderen Sicherheitsprodukten Fortinet hat eine kritische Schwachstelle in seinen Appliances geschlossen. Nutzer sollten das Update auf Version 5.8.1 so schnell wie möglich installieren. Angreifer könnten über den verwundbaren Web-Manager Appliances wie Web Application Firewalls übernehmen. Es ist bei weitem nicht das erste Mal, dass Fortinet-Produkte massive Probleme bei der Sicherheit haben.

Stellenmarkt
  1. GHM Gesellschaft für Handwerksmessen mbH, München
  2. BWI GmbH, Meckenheim

Konkret betroffen ist die Version 5.8.0 des FortiWebManagers. Nach Angaben des Unternehmens wird das für den Admin-Zugang verwendete Passwort nicht korrekt geprüft und die Software "gewährt Zugang, ohne Ansehen des tatsächlich eingegebenen Strings", wie Fortinet selbst schreibt. Das BSI warnt in einer Kurzinformation vor einem hohen Angriffsrisiko.

Eine Historie kritischer Fehler und Backdoors

Fortinet hatte schon mehrfach mit gravierenden Lücken zu kämpfen. Immer wieder wurde dem Unternehmen vorgehalten, Backdoor-Zugänge anzubieten. Dagegen hatte Fortinet sich stets verwahrt. Tatsächlich gab es allerdings einen Standard-SSH-Zugang mit dem hardcodierten Passwort "FGTAbc11*xy+Qqz27" in Firewalls und anderen Produkten des Unternehmens.

Zuletzt war Fortinet auch vom DUHK-Angriff betroffen. Die Abkürzung steht für "Don't Use Hard-coded Keys". Zehntausende Appliances des Unternehmens benutzten den gleichen Schlüssel für den Zufallszahlengenerator ANSI X9.31. Ist der Schlüssel bekannt, können künftig erzeugte Zufallszahlen von einem Angreifer berechnet werden. Forscher fanden rund 25.000 verwundbare Fortinet-Geräte im Internet.

Fortinet bedankt sich bei Abdulaziz Alrushaid von Saudi Aramco dafür, die Sicherheitslücke im Rahmen von Responsible Disclosure an das Unternehmen gemeldet zu haben.



Anzeige
Top-Angebote
  1. 14,97€
  2. 107,00€ (Bestpreis!)
  3. 419,00€
  4. 79,00€

Ingwar 28. Nov 2017

Dir ist aber bewusst dass sowas Geld kostet? Das finden einige Aktionäre und Manager...

Ingwar 28. Nov 2017

Genau du würdest denjenigen kündigen. Danach kommt der nächste Mensch an diese Position...

Baron Münchhausen. 27. Nov 2017

Ich baue erfolgreich seit ca. 7 Jahren nur noch Fake Logins ein. Die meisten kommen nicht...

Lasse Bierstrom 25. Nov 2017

Als würde man auf einer Festung alle Türme und Mauern mit den besten Bogenschützen...

ML82 25. Nov 2017

wie willst du sonst etwas verkaufen was noch nicht da ist? von der habenwirtschaft wurde...


Folgen Sie uns
       


Wasserstoff-Mercedes GLC F-Cell im Test

Der Mercedes GLC F-Cell ist eines der wenigen Serienfahrzeuge mit Brennstoffzellenantrieb. Wir haben das Auto getestet.

Wasserstoff-Mercedes GLC F-Cell im Test Video aufrufen
In eigener Sache: Neue Workshops zu agilem Arbeiten und Selbstmanagement
In eigener Sache
Neue Workshops zu agilem Arbeiten und Selbstmanagement

Wir haben in unserer Leserumfrage nach Wünschen für Weiterbildungsangebote gefragt. Hier ist das Ergebnis: Zwei neue Workshops widmen sich der Selbstorganisation und gängigen Fehlern beim agilen Arbeiten - natürlich extra für IT-Profis.

  1. In eigener Sache ITler und Board kommen zusammen
  2. In eigener Sache Herbsttermin für den Kubernetes-Workshop steht
  3. Golem Akademie Golem.de startet Angebote zur beruflichen Weiterbildung

Mobilfunktarife fürs IoT: Die Dinge ins Internet bringen
Mobilfunktarife fürs IoT
Die Dinge ins Internet bringen

Kabellos per Mobilfunk bringt man smarte Geräte am leichtesten ins Internet der Dinge. Dafür haben deutsche Netzanbieter Angebote für Unternehmen wie auch für Privatkunden.
Von Jan Raehm

  1. Smart Lock Forscher hacken Türschlösser mit einfachen Mitteln
  2. Brickerbot 2.0 Neue Schadsoftware möchte IoT-Geräte zerstören
  3. Abus-Alarmanlage RFID-Schlüssel lassen sich klonen

Erneuerbare Energien: Die Energiewende braucht Wasserstoff
Erneuerbare Energien
Die Energiewende braucht Wasserstoff

Kein anderes Element ist so universell und dabei simpel aufgebaut wie Wasserstoff und das energiereiche Gas lässt sich aus fast jedem Energieträger gewinnen. Genauso vielseitig gestaltet sich seine Nutzung.
Ein Bericht von Jan Oliver Löfken

  1. Strom-Boje Mittelrhein Schwimmende Kraftwerke liefern Strom aus dem Rhein
  2. Speicherung von Überschussstrom Wasserstoff soll bei Engpässen helfen
  3. Energiewende DLR-Forscher bauen Kohlekraftwerke zu Stromspeichern um

    •  /