In mehreren Fortinet-Produkten wurde eine schwerwiegende Stack-Overflow-Schwachstelle (CWE-121, CVSS 9.6 kritisch) entdeckt. Ein entfernter, nicht authentifizierter Angreifer kann speziell gestaltete HTTP-Anfragen senden, die zu einem Überlauf im API-Stack führen und beliebigen Code oder Systemkommandos mit den Rechten des HTTP-Daemons ausführen. Fortinet beobachtet bereits aktive Ausnutzung auf FortiVoice-Systemen.
| Produkt | Betroffen | Lösung |
|---|---|---|
| FortiCamera 2.1 | 2.1.0 – 2.1.3 | Upgrade auf 2.1.4 oder höher |
| FortiCamera 2.0 | alle Versionen | Migration auf gepatchte Version |
| FortiCamera 1.1 | alle Versionen | Migration auf gepatchte Version |
| FortiMail 7.6 | 7.6.0 – 7.6.2 | Upgrade auf 7.6.3 oder höher |
| FortiMail 7.4 | 7.4.0 – 7.4.4 | Upgrade auf 7.4.5 oder höher |
| FortiMail 7.2 | 7.2.0 – 7.2.7 | Upgrade auf 7.2.8 oder höher |
| FortiMail 7.0 | 7.0.0 – 7.0.8 | Upgrade auf 7.0.9 oder höher |
| FortiNDR 7.6 | 7.6.0 | Upgrade auf 7.6.1 oder höher |
| FortiNDR 7.4 | 7.4.0 – 7.4.7 | Upgrade auf 7.4.8 oder höher |
| FortiNDR 7.2 | 7.2.0 – 7.2.4 | Upgrade auf 7.2.5 oder höher |
| FortiNDR 7.1 | alle Versionen | Migration auf gepatchte Version |
| FortiNDR 7.0 | 7.0.0 – 7.0.6 | Upgrade auf 7.0.7 oder höher |
| FortiNDR 1.5 | alle Versionen | Migration auf gepatchte Version |
| FortiNDR 1.4 | alle Versionen | Migration auf gepatchte Version |
| FortiNDR 1.3 | alle Versionen | Migration auf gepatchte Version |
| FortiNDR 1.2 | alle Versionen | Migration auf gepatchte Version |
| FortiNDR 1.1 | alle Versionen | Migration auf gepatchte Version |
| FortiRecorder 7.2 | 7.2.0 – 7.2.3 | Upgrade auf 7.2.4 oder höher |
| FortiRecorder 7.0 | 7.0.0 – 7.0.5 | Upgrade auf 7.0.6 oder höher |
| FortiRecorder 6.4 | 6.4.0 – 6.4.5 | Upgrade auf 6.4.6 oder höher |
| FortiVoice 7.2 | 7.2.0 | Upgrade auf 7.2.1 oder höher |
| FortiVoice 7.0 | 7.0.0 – 7.0.6 | Upgrade auf 7.0.7 oder höher |
| FortiVoice 6.4 | 6.4.0 – 6.4.10 | Upgrade auf 6.4.11 oder höher |
Bekannte Indikatoren für Kompromittierung (IoCs)
- HTTPD-Logs mit FastCGI-Fehlern und Signal 11
- Unbekannte Dateien:
/bin/wpad_ac_helper(MD5 4410…d21)/lib/libfmlogin.so(MD5 3649…bcd)/bin/busybox(MD5 ebce…7315, 4898…0e590)/bin/fmtest(MD5 2c88…b946)/var/spool/.sync,/tmp/.sshdpm
- Cron-Jobs in
/data/etc/crontabund/var/spool/cron/crontabs/rootzum Auslesen vonfcgi.debug - Änderungen in
/etc/pam.d/sshdund/etc/httpd.conf(mod_socks5) - Verdächtige IP-Adressen: 198.105.127.124, 43.228.217.{173,82}, 156.236.76.90, 218.187.69.{244,59}
Empfehlungen
- Sofortiges Upgrade aller betroffenen Systeme auf die gepatchten Versionen.
- Deaktivieren des HTTP/HTTPS-Administrationsinterfaces, wenn nicht zwingend benötigt.
- Überprüfung auf oben genannte IoCs und Dateien.
- Monitoring Ihrer Netzwerk-Logs auf unerwartete FCGI-Debug-Einträge und ungewöhnlichen Traffic.
- Netzwerksegmentierung: Administrative Interfaces nur aus vertrauenswürdigen Netzen erreichbar machen.
Fortinet-Kunden sollten diese Warnung umgehend beachten und alle Schritte zur Schadensbegrenzung zeitnah umsetzen.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: