Angreifer könnten aufgrund von mehreren Fehlern in der Netzwerksoftware diverser Produkte von Fortinet Admin-Zugänge und andere Passwörter erraten und sich dadurch Zugang zu Systemen verschaffen. Sicherheitsupdates sind bereits verfügbar.
Betroffene Fortinet-Produkte:
- FortiAnalyzer
- FortiAP-C
- FortiMail
- FortiManager
- FortiOS
- FortiPortal
- FortiToken Mobile (Android)
- FortiWLM
Wir empfehlen eine Konfiguration gemäß der Support-Artikel von Fortinet:
- FortiMail - Administrative authentication bypass
- FortiWLM - SQL Injection in AP report handlers
- FortiWLM - command Injection in script handlers
- FortiPortal - Insecure password generation
- FortiAP-C - Command injection in CLI
- FortiMail - Unsafe handling of CGI environment parameters in web server framework
- FortiWLM - Path traversal vulnerability
- FortiToken Mobile (Android) - Deny request approved from External push notification
- FortiAnalyzer, FortiManager - bypass of client-side password change policy enforcement
- FortiManager - Password observed in cleartext in the config conflict file
- FortiOS - Bypassing FortiGate security profiles via SNI in Client Hello