Kritische Sicherheitslücke in Fortinets Webmanager
Quelle: Fortinet

Kritische Sicherheitslücke in Fortinets Webmanager

Das Sicherheitsunternehmen Fortinet liess bei seinem Webmanager das Admin-Passwort nicht korrekt prüfen, wodurch sich Nutzer mit jeder beliebigen Zeichenfolge in das System einloggen konnten. Ein Patch steht mittlerweile bereit.
27. November 2017

     

Fortinet, Hersteller von Web Application Firewalls und anderen Sicherheitsprodukten, musste eine kritische Sicherheitslücke in seinen Appliances schliessen. Alle Nutzer sollten schnellstmöglich das Update auf die Version 5.8.1 vollziehen. Die Sicherheitslücke fand sich im Webmanager, der fälschlicherweise das Admin-Passwort nicht korrekt überprüfte, wodurch sich Nutzer wie auch Angreifer mit beliebigen Zeichenfolgen anmelden konnten und sich so Zugang zu Appliances sowie Web Application Firewalls verschaffen konnten.


Betroffen ist die Version 5.8.0 des Fortiwebmanager. Wie das Unternehmen mitteilt, "gewährt die Software Zugang, ohne Ansehen des tatsächlichen eingegebenen Strings." Nicht zum ersten Mal hat Fortinet mit kritischen Sicherheitslücken zu kämpfen. So wurde dem Unternehmen auch schon vorgeworfen, Backdoor-Zugänge anzubieten. Das Unternehmen stritt dies zwar stets ab, in Tat und Wahrheit existierte jedoch ein Standard-SSH-Zugang mit einem hardcodierten Passwort "FGTAbc11*xy+Qqz27" in Firewalls sowie anderen Produkten des Unternehmens. (swe)


Weitere Artikel zum Thema

HP empfiehlt sofortiges Sicherheits-Update für Drucker

23. November 2017 - Hewlett Packard geht mit Firmware-Aktualisierungen eine kritische Sicherheitslücke bei mehreren Druckern an. Das Leck war bereits seit August 2017 bekannt. HP hat reagiert und empfiehlt Besitzern betroffener Geräte eine sofortige Systemaktualisierung.

Neue Firefox-Version schliesst Sicherheitslücken

16. November 2017 - Mozilla hat mit dem aktuellsten Browser-Update kritische Sicherheitslücken für Firefox, Firefox ESR und Tor geschlossen. Zu einem Umstieg auf die neue Version 57 wird angesichts der Lecks dringend geraten.

Wordpress-Update patcht SQL-Injection-Sicherheitslücke

3. November 2017 - In Wordpress wurde eine Schwachstelle entdeckt, die es Angreifern via SQL Injection ermöglicht, die Kontrolle über eine Site zu übernehmen. Mit der Version 4.8.3 steht jetzt ein Update zur Verfügung, welches das Leck schliesst.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Was für Schuhe trug der gestiefelte Kater?
GOLD SPONSOREN
SPONSOREN & PARTNER