Im Oktober 2024 wurde eine kritische Sicherheitslücke in Fortinets FortiManager-Produkt aufgedeckt, die als FortiJump (CVE-2024-47575) bekannt wurde. Diese Schwachstelle ermöglicht Angreifern, ohne Authentifizierung beliebigen Code auf verwundbaren Servern auszuführen. Mit einem CVSS-Score von 9,8 von 10 stellt FortiJump eine außerordentlich schwerwiegende Bedrohung für die Cybersicherheit dar.
Technische Details der FortiJump-Schwachstelle
FortiJump betrifft die FortiManager-API und steht in Zusammenhang mit dem FortiGate-to-FortiManager-Protokoll (FGFM). Die Sicherheitslücke erlaubt es Angreifern, Geräte mit nicht autorisierten Seriennummern im FortiManager-Dashboard zu registrieren. Nach erfolgreicher Registrierung können Hacker die Schwachstelle ausnutzen, um Remote Code Execution (RCE) auf dem FortiManager-Server durchzuführen.
Zentrale Aspekte der Sicherheitslücke umfassen:
- Umgehung der Authentifizierung in der FortiManager-API
- Nutzung eines gültigen Fortinet-Zertifikats zur Erstellung eines SSL-Tunnels
- Zugriff auf die Verwaltung legitimer FortiGate-Firewalls
- Potenzial zur Kompromittierung interner Kundennetzwerke über Managed Service Provider (MSP)
Ausmaß der Bedrohung und bestätigte Angriffe
Laut der Suchmaschine Shodan sind über 60.000 potenziell für FortiJump anfällige Verbindungen im Internet verfügbar. Sicherheitsexperten von Mandiant berichteten, dass die Schwachstelle seit Juni 2024 aktiv von der Hackergruppe UNC5820 ausgenutzt wurde. Es wurde die Kompromittierung von mehr als 50 Servern bestätigt.
Fortinet räumte ein, dass Angreifer FortiJump zur Exfiltration sensibler Daten nutzten, darunter:
- IP-Adressen
- Zugangsdaten
- Konfigurationen verwalteter Geräte
Kritik an Fortinets Offenlegungspraxis
Fortinets Umgang mit der Offenlegung der Sicherheitslücke wurde von Kunden und Cybersicherheitsexperten kritisiert. Hauptkritikpunkte waren:
- Verzögerung bei der öffentlichen Bekanntgabe der Schwachstelle
- Unvollständige Informationen in privaten Kundenbenachrichtigungen
- Fehlende rechtzeitige Warnungen für einige Benutzer
- Diskrepanz zu Fortinets proklamierten Prinzipien der „verantwortungsvollen radikalen Transparenz“
Empfehlungen zur Risikominimierung
Zur Minimierung der mit FortiJump verbundenen Risiken empfehlen Sicherheitsexperten folgende Maßnahmen:
- Sofortiges Update von FortiManager auf die Versionen 7.2.8 oder 7.4.5
- Änderung von Passwörtern und vertraulichen Daten auf allen verwalteten Geräten
- Durchführung eines Sicherheitsaudits zur Überprüfung möglicher Kompromittierungen
- Einschränkung des Zugriffs auf die FortiManager-API aus nicht vertrauenswürdigen Netzwerken
- Verstärktes Monitoring der Netzwerkaktivitäten und FortiManager-Logs
Die FortiJump-Schwachstelle unterstreicht die kritische Bedeutung zeitnaher Sicherheitsupdates und eines mehrschichtigen Ansatzes zum Schutz von Unternehmensnetzwerken. Organisationen sollten regelmäßige Risikobewertungen und Penetrationstests durchführen, um potenzielle Schwachstellen zu identifizieren, bevor sie von Angreifern ausgenutzt werden können. Nur ein ganzheitlicher Ansatz zur Cybersicherheit kann in der sich ständig weiterentwickelnden Bedrohungslandschaft einen robusten Schutz gewährleisten. Die Implementierung bewährter Sicherheitspraktiken, kontinuierliche Schulungen für Mitarbeiter und die Zusammenarbeit mit Sicherheitsexperten sind entscheidend, um die Widerstandsfähigkeit gegen Cyberangriffe zu stärken und das Risiko von Datenverlust oder Systemkompromittierung zu minimieren.