Fest eingestelltes Passwort ermöglicht Admin-Zugriff auf FortiAnalyzer, FortiCache und FortiSwitch
Davor warnt der Hersteller Fortinet. Bislang ging das Unternehmen davon aus, dass das fest eingestellte Passwort nur in den Versionen 4․3․0 bis 5․0․7 des FortiOS vorkommt.
Diese Annahme korrigiert die Sicherheitsfirma nun, FortiOS soll das Standard-Passwort schon ab Version 4․1․0 innehaben. Bei FortiAnalyzer zählt Fortinet die Versionen 5․0․5 bis 5․2․4 auf. 4․3 soll nicht betroffen sein. FortiCache habe das fest eingestellte Passwort von Version 3․0․0 bis 3․0․7. Nutzer von 3․1 müssen sich keine Sorgen machen. Bei FortiSwitch rät Fortinet Nutzern der Versionen 3․3․0 bis 3․3․2 dazu die Sicherheitsupdates einzuspielen. Bei den betroffenen Versionen nutzt das Konfigurations-Tool FortiManager das fest eingestellte SSH-Passwort.
Die Sicherheitsfirma ließ auf Twitter verlauten: Es sich dabei um keine Hintertür handelt. Sie bezeichnet die Lücke als "Anmelde-Problem der Management-Umgebung". In einem späteren Blog-Eintrag beteuert Fortinet nochmals, dass es sich dabei um keine Hintertür handelt.
Auf der Suche nach verwundbaren Geräten
Das Internet Storm Center (ISC) des SANS-Instituts hat seit Bekanntwerden der Schwachstelle eigenen Angaben zufolge eine erhöhte Anzahl von Scans nach angreifbaren Fortinet-Geräten verzeichnet. Nutzer sollten die Sicherheitsupdates demzufolge zügig installieren.
Kommentare