Netzwerk-Hersteller müssen Produkte nachbessern
Das klingt nach einer sehr intensiven Phase für führende Netzwerk-Hersteller: Bei Fortinet schlägt die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) wegen einer kritischen Sicherheitslücke Alarm, die bereits aktiv ausgenutzt wird – Palo Alto meldet Patches für gleich eine ganze Batterie von Schwachstellen und Cisco bringt einen Fix für eine gefährliche Sicherheitslücke.
Die Schwachstelle CVE-2024-23113 mit einem CVSS-Score von 9.8 betrifft mehrere Fortinet-Produkte, darunter FortiOS, FortiPAM, FortiProxy und FortiWeb, und wurde von der CISA in den KEV-Katalog (Known Exploited Vulnerabilities) aufgenommen. Diese Sicherheitslücke ermöglicht es Angreifern, aus der Ferne und ohne Authentifizierung beliebigen Code auszuführen. Der Angriff basiert auf einer extern kontrollierten Format-String-Schwachstelle (CWE-134) im fgfmd-Daemon von FortiOS, die speziell gestaltete Anfragen ausnutzt.
Fortinet warnte bereits im Februar 2024 in einem Advisory vor diesem Fehler. Obwohl das Bulletin nur wenige Informationen darüber gibt, wie die Schwachstelle in der Praxis ausgenutzt wird oder wer hinter den Angriffen steckt, bleibt die Gefahr hoch.
Behörden der zivilen Bundesverwaltung (FCEB) sind nun verpflichtet, die von Fortinet bereitgestellten Sicherheitsmaßnahmen bis spätestens 30. Oktober 2024 umzusetzen, um ihre Systeme zu schützen.
Palo Alto Networks deckt kritische Fehler in Expedition auf
Die Situation entwickelte sich, nachdem Palo Alto Networks mehrere Sicherheitslücken in ihrer Software „Expedition“ entdeckt hat. Diese Schwachstellen könnten es Angreifern ermöglichen, auf sensible Daten in der Datenbank zuzugreifen und Dateien auf dem System zu lesen. Zusätzlich könnten sie beliebige Dateien an temporären Speicherorten auf dem System ablegen.
Laut einer Warnung von Palo Alto Networks umfassen die gefährdeten Informationen unter anderem Benutzernamen, Passwörter im Klartext, Gerätekonfigurationen und API-Schlüssel von PAN-OS-Firewalls. Solche Daten sind äußerst kritisch für die Sicherheit von Netzwerken, weshalb diese Lücken dringend behoben werden müssen.
Die Sicherheitslücken betreffen alle Versionen von Expedition vor 1.2.96 und sind wie folgt aufgelistet:
- CVE-2024-9463 (CVSS-Score: 9.9): Eine Schwachstelle zur Betriebssystem-Befehlsausführung, die es einem nicht authentifizierten Angreifer ermöglicht, beliebige Befehle mit Root-Rechten auszuführen.
- CVE-2024-9464 (CVSS-Score: 9.3): Eine weitere Schwachstelle zur Betriebssystem-Befehlsausführung, die es einem authentifizierten Angreifer erlaubt, beliebige Befehle mit Root-Rechten auszuführen.
- CVE-2024-9465 (CVSS-Score: 9.2): Eine SQL-Injection-Schwachstelle, durch die ein nicht authentifizierter Angreifer die Inhalte der Expedition-Datenbank einsehen kann.
- CVE-2024-9466 (CVSS-Score: 8.2): Eine Schwachstelle durch unverschlüsselte Speicherung sensibler Informationen, die es einem authentifizierten Angreifer ermöglicht, Benutzernamen, Passwörter und API-Schlüssel von Firewalls zu offenbaren.
- CVE-2024-9467 (CVSS-Score: 7.0): Eine reflected Cross-Site-Scripting-Schwachstelle (XSS), die es Angreifern erlaubt, bösartigen JavaScript-Code im Browser eines authentifizierten Expedition-Nutzers auszuführen, wenn dieser auf einen manipulierten Link klickt. Dies könnte zu Phishing-Angriffen und dem Diebstahl der Expedition-Sitzung führen.
Die Firma bedankt sich bei Zach Hanley von Horizon3.ai für die Entdeckung und Meldung der Schwachstellen CVE-2024-9464, CVE-2024-9465 und CVE-2024-9466 sowie bei Enrique Castillo von Palo Alto Networks für CVE-2024-9463, CVE-2024-9464, CVE-2024-9465 und CVE-2024-9467.
Es gibt bisher keine Hinweise darauf, dass die Sicherheitslücken bereits in der Praxis ausgenutzt wurden. Allerdings sind die Schritte, um das Problem zu reproduzieren, dank Horizon3.ai bereits öffentlich verfügbar.
Weltweit gibt es etwa 23 Expedition-Server, die direkt über das Internet zugänglich sind. Die meisten davon befinden sich in den USA, Belgien, Deutschland, den Niederlanden und Australien. Als Schutzmaßnahmen wird empfohlen, den Zugriff auf autorisierte Nutzer, Hosts oder Netzwerke zu beschränken und die Software abzuschalten, wenn sie nicht aktiv genutzt wird.
Cisco behebt Fehler im Nexus Dashboard Fabric Controller
Letzte Woche hat Cisco Patches veröffentlicht, um eine kritische Schwachstelle in der Nexus Dashboard Fabric Controller (NDFC)-Software zu beheben. Diese Schwachstelle, die durch unzureichende Benutzerberechtigungen und eine fehlerhafte Validierung von Befehlsargumenten verursacht wird, ermöglicht eine Ausführung von Befehlen.
Die Schwachstelle, die unter der Kennung CVE-2024-20432 (CVSS-Score: 9.9) geführt wird, könnte es einem authentifizierten, wenig privilegierten Angreifer aus der Ferne erlauben, einen Command-Injection-Angriff gegen ein betroffenes Gerät durchzuführen. Die Lücke wurde in der NDFC-Version 12.2.2 behoben. Wichtig ist, dass Versionen 11.5 und älter nicht anfällig sind.
Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er speziell gestaltete Befehle an eine betroffene REST-API-Schnittstelle oder über die Web-Benutzeroberfläche sendet. Bei einem erfolgreichen Angriff könnte der Angreifer beliebige Befehle auf dem CLI eines von Cisco NDFC verwalteten Geräts mit Netzwerkadministratorrechten ausführen.