Credential-Dumping Sicherheitslücke CVE-2024-50570 in FortiClient
Table of Contents
Die Schwachstelle CVE-2024-50570 in FortiClient (Windows und Linux) ermöglicht es lokalen, authentifizierten Angreifern, VPN-Passwörter aus dem Speicher auszulesen. Die Ursache ist eine unsichere Speicherung sensibler Informationen (CWE-312), ausgelöst durch die JavaScript-Garbage-Collection. Betroffen sind die Versionen älter als 7.4.3, 7.2.8 und 7.0.14.
Workarounds
- Zwei-Faktor-Authentifizierung (2FA):
Aktivieren Sie 2FA für lokale Benutzer in FortiOS:config user local edit <user> set two-factor <option> next end - SAML-Authentifizierung:
Bei Verwendung der SAML-Authentifizierung in FortiClient-Browsern sind Benutzer nicht betroffen, solange die FortiClient-Konsole nach Aufbau der VPN-Verbindung geschlossen wird. - FortiClient Windows (Version 7.2.6 und 7.4.1):
- Überprüfen Sie, dass die FortiClient-Konsole nach erfolgreicher VPN-Verbindung automatisch geschlossen wird.
- In der XML-Konfigurationsdatei muss der Wert
'1'für diese Einstellung gesetzt sein. - Alternativ: Aktivieren Sie die Option “Minimize FortiClient Console on Connect” über EMS.