FEHLER!

Neue Sicherheitslücke in Fortinet-Firewalls entdeckt: Exploit-Code aus Honeypot analysiert

IT-Sicherheitsforscher haben eine neue Sicherheitslücke in Fortinet-Firewalls entdeckt, die durch einen Exploit-Code aus einem Honeypot hervorgegangen ist. Dieser Code zeigt Parallelen zu einer bereits im Jahr 2022 geschlossenen Schwachstelle, CVE-2022-40684, und ermöglicht es Angreifern, die Authentifizierung auf dem Admin-Interface zu umgehen und mit manipulierten Anfragen verbotene Aktionen auszuführen. Die Entdeckung erfolgte durch die Analyse von Daten aus einer neuen Honeypot-Umgebung, wobei der gefundene Schadcode zunächst von gängigen Malware-Schutzsystemen nicht erkannt wurde. Es handelt sich hierbei um einen Exploit vom Typ Path Traversal, der ähnliche Mechanismen wie die zuvor genannte Schwachstelle aufweist und erhebliche Risiken für betroffene Systeme birgt.

Die Sicherheitsforscher, die den Exploit entdeckt haben, halten bewusst einige Details zur Funktionsweise der Payload geheim, um potenzielle Opfer vor Missbrauch zu schützen. Bekannt ist jedoch, dass Angreifer den Schadcode über HTTP-Post-Anfragen an einen spezifischen Endpunkt im Fortinet-Firewall-Admin-Interface senden. Darin versteckt sich eine Befehlssequenz, die zur Anlegung eines neuen Nutzerkontos auf dem System dient. Um weitere Hinweise auf die Kompromittierungsszenarien zu liefern, wurden zusätzlich Indikatoren wie IP-Adressen von Angriffen und verwendete Benutzername-Passwort-Kombinationen veröffentlicht.

Die Funktionsfähigkeit des Zero-Day-Exploits wurde durch eindrucksvolle Demonstrationen der IT-Forensiker von watchTowr auf X bestätigt. Sie zeigten in einem Kurzvideo, wie der Exploit eine Fortinet-Firewall angreift und dabei erfolgreich ein Admin-Konto erstellt. Darüber hinaus haben sie den Exploit in ihre eigene Erkennungssoftware integriert, um zukünftige Fälle frühzeitig zu identifizieren.

Bislang hat Fortinet öffentlich keine Stellungnahme oder Sicherheitsupdate bezüglich dieses neuen Angriffsvektors veröffentlicht. Als kurzfristige Gegenmaßnahme empfehlen Experten, Zugriffe auf das Admin-Interface zumindest vorerst auf vertrauenswürdige IP-Adressen einzuschränken, besonders wenn es im öffentlichen Netz zugänglich ist. Dies soll potenzielle Ausbeutungen minimieren und die Sicherheit von Fortinet-Firewalls erhöhen, bis ein offizielles Update von Fortinet verfügbar ist.

Schlagwörter: Fortinet + Traversal + watchTowr

Wie bewerten Sie den Schreibstil des Artikels?
1 Star2 Stars3 Stars4 Stars5 Stars
  • 14. November 2025