Fortinet Behebt Aktive FortiCloud-SSO-Umgehungsangriffe auf Aktualisierten FortiGate-Firewalls

Fortinet Bestätigt Aktive Ausnutzung der FortiCloud-SSO-Umgehungslücke

Fortinet hat die aktive Ausnutzung einer Authentifizierungsumgehungslücke bestätigt, die FortiCloud Single Sign-On (SSO) auf vollständig gepatchten FortiGate-Firewalls betrifft. Das Unternehmen gab bekannt, dass Angriffe innerhalb der letzten 24 Stunden stattgefunden haben – selbst auf Geräten mit den neuesten Firmware-Versionen. Dies deutet auf eine bisher unbekannte oder unvollständig gepatchte Schwachstelle hin.

Technische Details

Fortinet hat bisher weder eine CVE-ID noch ein vollständiges technisches Advisory veröffentlicht. Die Schwachstelle scheint es Angreifern jedoch zu ermöglichen, die FortiCloud-SSO-Authentifizierungsmechanismen zu umgehen. Dadurch könnte unbefugter Zugriff auf Firewall-Management-Schnittstellen oder geschützte Netzwerkressourcen ohne gültige Anmeldedaten ermöglicht werden. Fortinet bestätigte, dass das Problem FortiGate-Firewalls mit aktuellen Firmware-Versionen betrifft, was auf ein Zero-Day-Szenario oder einen unvollständigen Patch hindeutet.

Auswirkungsanalyse

Die erfolgreiche Ausnutzung dieser Schwachstelle birgt erhebliche Risiken, darunter:

• Unautorisierter administrativer Zugriff auf FortiGate-Firewalls
• Laterale Bewegung innerhalb kompromittierter Netzwerke
• Datenexfiltration oder das Ausrollen zusätzlicher schädlicher Payloads
• Störung von Netzwerksicherheitskontrollen

Angesichts der weitverbreiteten Nutzung von FortiGate-Firewalls in Unternehmen und Behörden könnte die Schwachstelle erhebliche Auswirkungen auf Organisationen haben, die auf Fortinets Sicherheitsinfrastruktur vertrauen.

Empfehlungen für Sicherheitsteams

Fortinet arbeitet derzeit an einem dauerhaften Patch. Bis dahin wird Sicherheitsteams empfohlen:

1. Firewall-Logs überwachen auf ungewöhnliche Authentifizierungsversuche oder unbefugten Zugriff.
2. Multi-Faktor-Authentifizierung (MFA) wo möglich aktivieren, um das Risiko unbefugten Zugriffs zu verringern.
3. Administrativen Zugriff einschränken auf vertrauenswürdige IP-Bereiche oder interne Netzwerke.
4. Netzwerksegmentierung überprüfen und verstärken, um laterale Bewegungen einzuschränken.
5. Aktuelle Informationen über Fortinets offizielle Sicherheitshinweise zu Patch-Veröffentlichungen und Minderungsmaßnahmen verfolgen.

Fortinet hat weder das Ausmaß der Angriffe noch die Identitäten der betroffenen Organisationen offengelegt. Weitere Details, einschließlich einer CVE-Zuweisung, werden in den kommenden Tagen erwartet, während die Untersuchung voranschreitet.