FortiManager

Die Schwachstelle betrifft FortiManager von Fortinet, die zentrale Verwaltungsplattform für Fortinet-Netzwerkgeräte. Der Fehler sitzt im Daemon fgfmd, der für die Kommunikation zwischen FortiManager und den verwalteten Geräten zuständig ist. Für eine sicherheitskritische Funktion fehlt dort eine Authentifizierung: Der Dienst prüft nicht, ob ein eingehender Verbindungspartner überhaupt berechtigt ist. Dadurch kann ein Angreifer aus der Ferne und ohne gültige Zugangsdaten speziell präparierte Anfragen an den Dienst senden und auf dem System beliebigen Code oder eigene Befehle ausführen. Weil FortiManager die zentrale Steuerinstanz für ganze Geräteflotten ist, beschränkt sich eine erfolgreiche Übernahme nicht auf den Verwaltungsserver selbst, sondern eröffnet potenziell den Zugriff auf alle daran angebundenen Firewalls und Netzwerkgeräte. Betroffen ist sowohl die lokal betriebene FortiManager-Software als auch die Cloud-Variante FortiManager Cloud.