BASYS Security Alert | Fortinet-Schwachstellen

02.03.2022

In diversen Produkten von Fortinet wurden z. T. kritische Schwachstellen entdeckt.

Angreifer könnten aufgrund von mehreren Fehlern in der Netzwerksoftware diverser Produkte von Fortinet Admin-Zugänge und andere Passwörter erraten und sich dadurch Zugang zu Systemen verschaffen. Sicherheitsupdates sind bereits verfügbar.

Betroffene Fortinet-Produkte:

FortiAnalyzer
FortiAP-C
FortiMail
FortiManager
FortiOS
FortiPortal
FortiToken Mobile (Android)
FortiWLM

Wir empfehlen eine Konfiguration gemäß der Support-Artikel von Fortinet:

FortiMail - Administrative authentication bypass
FortiWLM - SQL Injection in AP report handlers
FortiWLM - command Injection in script handlers
FortiPortal - Insecure password generation
FortiAP-C - Command injection in CLI
FortiMail - Unsafe handling of CGI environment parameters in web server framework
FortiWLM - Path traversal vulnerability
FortiToken Mobile (Android) - Deny request approved from External push notification
FortiAnalyzer, FortiManager - bypass of client-side password change policy enforcement
FortiManager - Password observed in cleartext in the config conflict file
FortiOS - Bypassing FortiGate security profiles via SNI in Client Hello