FortiClient EMS

Die Schwachstelle steckt in Fortinet FortiClient EMS, der zentralen Verwaltungssoftware für den FortiClient-Endpunktschutz. Ursache ist eine SQL-Injection: Eingaben, die in einen SQL-Datenbankbefehl einfließen, werden nicht ausreichend bereinigt, sodass ein Angreifer Sonderzeichen einschleusen und den Aufbau der Datenbankabfrage manipulieren kann. Über speziell präparierte Anfragen oder Datenpakete lässt sich der Fehler aus der Ferne ausnutzen, ohne dass eine vorherige Anmeldung nötig ist. Ein unauthentifizierter Angreifer kann auf diesem Weg nicht nur die Datenbank manipulieren, sondern eigene Befehle bzw. nicht autorisierten Code auf dem System ausführen – und zwar mit den Rechten des SYSTEM-Kontos, also der höchsten Berechtigungsstufe unter Windows. Damit erlangt er die vollständige Kontrolle über den betroffenen Verwaltungsserver. Da diese Software zentral die abgesicherten Endgeräte steuert, ist eine Übernahme besonders folgenreich.