Kurzmeldung: Fortinet schließt mehrere Sicherheitslücken in FortiOS und co.

Das SSL-VPN-Webportal von FortiOS war über mehrere Wege angreifbar – teils ohne Authentifizierung und aus der Ferne. VINTIN und Fortinet raten zum Update.

Mehrere Versionen des Security-Network-Betriebssystems FortiOS, das bei FortiGate-Firewalls eingesetzt wird, weisen insgesamt mehrere Sicherheitslücken auf, die das SSL-VPN-Webportal betreffen. Fortinet hat Security Advisories mit Update-Hinweisen veröffentlicht. Hinzu kommt ein eher allgemein gehaltener Ratgeber zu Gefahren durch Prozessorlücken wie ZombieLoad, das auch auf die Produkte FortiAP, FortiSwitch und FortiAnalyzer betrifft. Nutzer sollen sich so schnell wie möglich mit den Hinweisen auseinandersetzen und auf die empfohlenen Software-Versionen umsteigen.

VINTIN und Fortinet raten folgende Fortinet-Produkte upzugraden:

• FortiOS auf mindestens 5.6.3 / 6.0.0
• FortiAP auf mindestens 5.6.5 / 6.0.2
• FortiSwitch auf mindestens 3.6.3 / 4.0.0
• FortiAnalyzer auf mindetens 5.6.6 / 6.0.2.

Außerdem ist es laut Fortinet möglich als temporären Workaround das SSL-VPN-Webportal per Kommandozeilenbefehl zu deaktivieren:

config vpn ssl settings
unset source-interface
end

Zudem wird für ältere FortiOS-Versionen folgende Abwandlung zur Deaktivierung genannt:

config vpn ssl settings
set sslvpn-enable disable
end

Hier ist abschließend noch eine Auflistung der sechs Advisories von Fortinet:

FG-IR-18-384
FG-IR-18-389
FG-IR-17-242
FG-IR-18-383
FG-IR-19-034
FG-IR-18-002

Bei Fragen zu den Updates oder zu unserem Technologiepartner Fortinet stehen wir Ihnen gerne zur Verfügung!