Fortinet warnt vor aktiver Ausnutzung: Umgehung der FortiCloud-SSO-Authentifizierung
Fortinet bestätigt aktive Angriffe auf eine Schwachstelle in FortiCloud SSO, die Authentifizierungskontrollen umgeht – selbst bei gepatchten Geräten.
Fortinet bestätigt aktive Ausnutzung einer FortiCloud-SSO-Authentifizierungsumgehung
Fortinet hat bestätigt, dass Cyberkriminelle eine Schwachstelle im Single-Sign-On-(SSO)-Authentifizierungssystem von FortiCloud aktiv ausnutzen. Diese ermöglicht Angreifern die Umgehung von Authentifizierungskontrollen – selbst auf Geräten, die bereits mit Sicherheitsupdates versehen wurden.
Das Unternehmen gab die Warnung heraus, nachdem Berichte über laufende Angriffe auf den FortiCloud-SSO-Login-Mechanismus eingingen. Obwohl Fortinet noch keine spezifischen technischen Details zur Schwachstelle veröffentlicht hat, scheint die Ausnutzung kürzlich aufgedeckten Authentifizierungsumgehungslücken in Fortinet-Produkten zu ähneln.
Technische Details und Angriffsvektor
Zum aktuellen Zeitpunkt hat Fortinet noch keinen CVE-Identifier für die Schwachstelle veröffentlicht. Sicherheitsforscher weisen jedoch darauf hin, dass der Angriffsvektor früheren FortiCloud-SSO-Schwachstellen ähnelt, die häufig folgende Aspekte betreffen:
- Manipulation von Authentifizierungstokens oder Sitzungsverwaltungsmechanismen
- Ausnutzung unzureichender Eingabevalidierung in SSO-Login-Anfragen
- Umgehung von Multi-Faktor-Authentifizierung (MFA)-Schutzmaßnahmen
Die Tatsache, dass auch gepatchte Geräte anfällig bleiben, deutet auf eines der folgenden Szenarien hin:
- Eine neue, ungepatchte Schwachstelle in der SSO-Implementierung, oder
- Angreifer nutzen Fehlkonfigurationen oder verbleibende Schwachstellen in zuvor behobenen Lücken aus.
Auswirkungsanalyse
Eine erfolgreiche Ausnutzung dieser Schwachstelle könnte nicht authentifizierten Angreifern ermöglichen:
- Unbefugten Zugriff auf Fortinet-Management-Schnittstellen zu erlangen
- Berechtigungen zu eskalieren innerhalb der FortiCloud-Umgebung
- Seitwärtsbewegungen über verbundene Fortinet-Geräte und -Dienste durchzuführen
- Sensible Daten zu exfiltrieren oder zusätzliche schädliche Payloads einzusetzen
Angesichts der weit verbreiteten Nutzung von Fortinet in Unternehmens- und Regierungsnetzwerken stellt diese Schwachstelle ein erhebliches Risiko für Organisationen dar, die auf FortiCloud für zentrale Authentifizierung und Geräteverwaltung angewiesen sind.
Empfehlungen zur Schadensbegrenzung
Fortinet hat bisher noch keinen offiziellen Patch oder eine Sicherheitswarnung für diese spezifische Schwachstelle veröffentlicht. Sicherheitsverantwortliche sollten jedoch folgende Maßnahmen ergreifen:
- Fortinets PSIRT-Sicherheitshinweise auf Updates und offizielle Anleitungen überwachen (Fortinet PSIRT).
- FortiCloud-Zugriffsprotokolle auf verdächtige Authentifizierungsversuche oder ungewöhnliche Aktivitäten überprüfen.
- Strikte Netzwerksegmentierung durchsetzen, um seitliche Bewegungen im Falle eines Angriffs zu begrenzen.
- Zusätzliche Authentifizierungskontrollen implementieren, wie z. B. IP-Whitelisting oder bedingte Zugriffsrichtlinien für FortiCloud SSO.
- FortiCloud SSO vorübergehend deaktivieren, falls machbar, und manuelle Authentifizierung erzwingen, bis ein Patch verfügbar ist.
SecurityWeek wird die weitere Entwicklung dieser Situation verfolgen und Updates bereitstellen, sobald weitere technische Details bekannt werden.
Originalbericht von Ionut Arghire für SecurityWeek.