Fortinet hat mit einem Update eine Sicherheitslücke in seinen Load-Balancern der FortiWAN-Serie geschlossen. Andere Lücken scheinen davon aber unbenommen, was es Angreifern erlauben würde, Admin-Kommandos ohne entsprechende Rechte auszuführen.

In der Software der FortiWAN Load-Balancer-Geräte von Fortinet stecken fünf Sicherheitslücken. Eine der Lücken wurde mit einem Update geschlossen, die übrigen scheinen nach wie vor zu klaffen. Das berichtet das CERT der Carnegie-Mellon-Universität. Angreifer können sich die Lücken zu Nutze machen, um auf den Geräten mit einem Konto ohne Adminrechte trotzdem Admin-Funktionen auszuführen. So könnten sie die Geräte umkonfigurieren, Traffic mitschneiden und Administratoren mittels Cross-Site-Scripting angreifen.

Das Software-Update 4.2.5 für FortiWAN-Geräte schließt die Lücke, mit der Angreifer Traffic mitschneiden können, ohne Admin-Rechte zu besitzen. Die Lücke, mit der normale Nutzer Kommandos in das Betriebssystem einschleusen können, die dann mit Adminrechten ausgeführt werden, ist aber wohl noch ungepatcht – auch drei weitere Schwachstellen scheinen nicht betroffen. Administratoren sollten das vorliegende Update aber trotzdem so schnell wie möglich einspielen und die Augen nach etwaigen Folge-Updates offen halten.

(Quelle: heise.de)