FortiOS

Die Schwachstelle betrifft FortiOS, das Betriebssystem der Fortinet-Sicherheitsgeräte. Beim Erstellen einer Konfigurationssicherung verschlüsselt FortiOS bestimmte sensible Daten in der Backup-Datei – allerdings mit einem fest im Programmcode hinterlegten kryptografischen Schlüssel, der für alle Geräte identisch und damit allgemein bekannt ist. Wer Zugriff auf eine solche Sicherungsdatei erlangt und den fest einprogrammierten Schlüssel kennt, kann die geschützten Inhalte deshalb wieder entschlüsseln. Betroffen sind dabei die Passwörter der Benutzerkonten – mit Ausnahme des Administrator-Passworts –, die Passphrasen privater Schlüssel sowie das Passwort für den Hochverfügbarkeitsverbund, sofern dieses gesetzt ist. Da diese Zugangsdaten unmittelbar offengelegt werden, kann ein Angreifer sie für weitergehende Zugriffe missbrauchen. Der eigentliche Schwachpunkt liegt darin, dass die Vertraulichkeit der Sicherung allein von einem unveränderlichen, geräteübergreifend gleichen Schlüssel abhängt.