Ein Bedrohungsakteur hat kürzlich SSL-VPN-Zugriffsinformationen offengelegt an 87,000 FortiGate SSL-VPN-Geräte, Fortinet hat bestätigt.
Ungepatchtes CVE-2018-13379 in FortiGate SSL-VPN-Geräten verursachte das Leck
Laut Aussage, die besagten Zugangsdaten wurden von Systemen entnommen, die nicht gegen eine bestimmte Schwachstelle gepatcht wurden – CVE-2018-13379 – das im Mai enthüllt wurde 2019. Damals, das Unternehmen hat eine Beratung herausgegeben und direkt mit seinen Kunden kommuniziert, und hat sie ermutigt, die betroffenen Geräte zu aktualisieren. Jedoch, wie sich herausstellt, viele Geräte wurden ungepatcht gelassen und daher, anfällig für Angriffe und Exploits.
Hier ist die offizielle Beschreibung der Verwundbarkeit:
Eine unangemessene Beschränkung eines Pfadnamens auf ein eingeschränktes Verzeichnis (“Path-Traversal”) in Fortinet FortiOS 6.0.0 zu 6.0.4, 5.6.3 zu 5.6.7 und 5.4.6 zu 5.4.12 und FortiProxy 2.0.0, 1.2.0 zu 1.2.8, 1.1.0 zu 1.1.6, 1.0.0 zu 1.0.7 unter SSL VPN Webportal ermöglicht es einem nicht authentifizierten Angreifer, Systemdateien über speziell gestaltete HTTP-Ressourcenanforderungen herunterzuladen.
Auch wenn die Geräte inzwischen möglicherweise gepatcht wurden, sie bleiben offen, wenn ihre Passwörter nicht zurückgesetzt wurden, Fortinet warnte.
Nach diesem Vorfall, Das Unternehmen fordert Kunden und Organisationen auf, die betroffenen Versionen auszuführen, um ihre Geräte zu aktualisieren und das Passwort zurückzusetzen, wie in ihrem Kundensupport-Bulletin beschrieben. Mit anderen Worten, alle betroffenen Parteien sollten auf FortiOS aktualisieren 5.4.13, 5.6.14, 6.0.11, oder 6.2.8 und darüber. Weitere Informationen finden Sie in Fortinets ursprüngliche Warnung.
Im Juni 2021, Sicherheitsforscher warnten, dass Cyberkriminelle eine ältere SQL-Injection-Sicherheitslücke ausnutzten, bekannt als CVE-2019-7481. Die Schwachstelle befindet sich in SonicWall Secure Remote Access (FRAU) 4600 Geräte mit den Firmwareversionen 8.x und 9.x. Der Fehler wurde bei Angriffen gegen verschiedene Organisationen eingesetzt.