NEWS BRIEF
Fortinet hat endlich eine kritische Sicherheitslücke in seinem Wireless LAN Manager (FortiWLM) geschlossen, die die Offenlegung sensibler Daten durch Unbefugte ermöglichen könnte. In Verbindung mit einer anderen Schwachstelle könnte dies zu Remotecodeausführung (RCE) führen, warnte ein Forscher.
Der Fehler (CVE-2023-34990(CVSS 9.6) wurde erstmals im März veröffentlicht, als sie als "unauthenticated limited file read vulnerability" ohne CVE beschrieben wurde.
"Dieses Problem resultiert aus der fehlenden Eingabevalidierung von Anfrageparametern, die es einem Angreifer ermöglicht, Verzeichnisse zu durchsuchen und jede beliebige Protokolldatei auf dem System zu lesen", erklärt Horizon3.ai-Sicherheitsforscher Zach Hanley, der den Fehler an Fortinet gemeldet hat, notiert im März. Er hat Dark Reading bestätigt, dass es sich bei dem in dieser Woche gepatchten Fehler um dasselbe Problem handelt.
Er fügte hinzu: "Zum Glück für einen Angreifer hat der FortiWLM sehr ausführliche Protokolle - und protokolliert die Sitzungs-ID aller authentifizierten Benutzer. Durch den Missbrauch des obigen willkürlichen Lesens der Protokolldatei kann ein Angreifer nun die Sitzungs-ID eines Benutzers erhalten und sich anmelden sowie authentifizierte Endpunkte missbrauchen."
Die National Vulnerability Database (NVD) des NIST hat notiert dass die Schwachstelle auch dazu genutzt werden kann, "nicht autorisierten Code oder Befehle über speziell gestaltete Webanfragen auszuführen" - dank des Zugriffs auf diese authentifizierten Endpunkte.
Der Fehler betrifft die FortiWLM-Versionen 8.6.0 bis 8.6.5 (behoben in 8.6.6 oder höher) und die Versionen 8.5.0 bis 8.5.4 (behoben in 8.5.5 oder höher).
Kombination von Fortinet-Schwachstellen zum Erreichen von RCE
Hanley wies bereits im März auf eine potenzielle Exploit-Kette hin: Wenn CVE-2023-34990 mit einem authentifizierten Befehlsinjektionsfehler kombiniert wird, den Fortinet letztes Jahr gepatcht hat (CVE-2023-48782, CVSS 8.8), wird es zu einem weiteren Rezept für RCE.
Diese zweite Schwachstelle ermöglicht es einem Angreifer, der über CVE-2023-34990 Zugriff auf einen authentifizierten Endpunkt erlangt hat, von dort aus eine manipulierte bösartige Zeichenfolge in eine Anfrage an den Endpunkt /ems/cgi-bin/ezrf_switches.cgi zu injizieren, die mit Root-Rechten ausgeführt wird.
"Kombiniert man sowohl das unauthentifizierte Lesen beliebiger Protokolldateien als auch die authentifizierte Befehlsinjektion, kann ein unauthentifizierter Angreifer Remote-Code-Ausführung im Root-Kontext erreichen", erklärt Hanley. "Dieser Endpunkt ist sowohl für Benutzer mit geringen Rechten als auch für Administratoren zugänglich.
