FortiOS

Die Schwachstelle liegt in FortiOS, dem Betriebssystem der Sicherheits-Appliances von Fortinet. Es handelt sich um einen sogenannten Path-Traversal-Fehler: Über die Kommandozeilenschnittstelle (CLI) verarbeitet das System Pfadangaben nicht ausreichend, sodass sich der Zugriff aus einem eigentlich vorgesehenen, eingeschränkten Verzeichnis ausbrechen lässt. Mithilfe besonders präparierter CLI-Befehle kann ein Angreifer dadurch beliebige Dateien auf dem darunterliegenden Linux-System lesen und schreiben – also auch außerhalb des für ihn bestimmten Bereichs. Voraussetzung ist allerdings, dass der Angreifer bereits über erhöhte Rechte auf dem Gerät verfügt; ein unbefugter Zugriff von außen ohne solche Berechtigungen ist auf diesem Weg nicht möglich. Wer diese Rechte besitzt, kann den Defekt jedoch nutzen, um Systemdateien einzusehen oder zu manipulieren und so seine Kontrolle über die Appliance auszuweiten. Betroffen sind Geräte, auf denen FortiOS eingesetzt wird.