Fortinet hat eine Schwachstelle in seinen Geräten behoben die es Angreifern ermöglichte, verschlüsselte TLS-Verbindungen zu manipulieren und unautorisierten Zugriff auf Informationen zu erhalten. Diese Lücke ist seit acht Jahren bekannt und wurde unter dem Namen Project-Mogul bekannt. Fortinet hat nun reagiert und ein Update für FortiOS bereitgestellt um die Sicherheit seiner Geräte zu erhöhen.
Neben einer Lücke, über die Angreifer auf den Geräten per Cross-Site-Scripting (XSS) Schindluder treiben können, behebt das Sicherheitsupdate ebenfalls ein Problem mit SSL/TLS-Verbindungen, über die Angreifer beliebige Daten in eine solche Verbindung einschleusen können, ohne den eigentlichen Inhalt zu entschlüsseln. Diese Sicherheitslücke in TLS ist seit mindestens acht Jahren unter dem Namen Project Mogul und der CVE-Identifikationsnummer CVE-2009-3555 bekannt.
Ein Angreifer kann Fehler in SSL 3․0 und mehreren TLS-Versionen missbrauchen, bei denen bei einer Neuaushandlung einer Verbindung unter Umständen der Bezug zwischen alter und neuer Verbindung verloren geht. Dadurch kann ein Man-in-the-Middle dann Daten in die neue Verbindung einschleusen; allerdings ohne die zuvor übermittelten Daten entschlüsseln zu können. Andere Hersteller hatten damals ähnlich wie mehrere Monate oder Jahre gebraucht, das Problem anzugehen ? so hatte etwa Oracle die Lücke in einigen seiner Produkte Mitte 2011 gestopft. Das Update von Fortinet soll ein Missbrauch der TLS-Lücke verhindern, wenn sowie der Client als auch der FortiOS-Server eine sichere Neuaushandlung der Verbindung unterstützen.
Update auf abgesicherte FortiOS-Versionen
FortiOS ist betroffen, da die Entwickler anscheinend Fehler bei der SSL-Deep-Inspection-Funktion des Betriebssystems gemacht haben. Diese ist dazu da, SSL/TLS-Verbindungen aufzubrechen um Angriffe auf die Systeme hinter der Firewall aufzuspüren. FortiOS 5․6․0, 5․4․0 bis 5․4․5 und aller Versionen bis 5․2 enthalten diese Schwachstelle. Laut dem Hersteller sollten Administratoren betroffene Systeme auf FortiOS 5․4․6 oder 5․6․1 aktualisieren.
Die XSS-Lücke betrifft FortiOS 5․6․0, 5․4․0 bis 5․4․5 und 5․2․0 bis 5․2․11. Hier empfiehlt sich laut Hersteller ein Update auf FortiOS 5․2․12, 5․4․6 oder 5․6․1.
Kommentare