Eine kürzlich entdeckte Sicherheitslücke in Fortinet, bekannt unter der Bezeichnung CVE-2024-21762, könnte bis zu 150.000 Systeme betreffen. Trotz der schwerwiegenden Natur dieser Schwachstelle gibt es bisher keine Hinweise auf deren weitverbreitete Ausnutzung. Vor etwa einem Monat veröffentlichte Fortinet einen Patch für eine kritische Sicherheitslücke in FortiOS und warnte Kunden vor möglichen Ausnutzungen. Obwohl viele Systeme betroffen sind, sind bisher keine Anzeichen für großangelegte Angriffe erkennbar.

Die Sicherheitslücke CVE-2024-21762 wird als ein Problem beschrieben, das durch einen Fehler beim Schreiben außerhalb des vorgesehenen Bereichs in FortiOS und FortiProxy entsteht. Dies könnte es einem entfernten, nicht authentifizierten Angreifer ermöglichen, durch speziell gestaltete HTTP-Anfragen beliebigen Code oder Befehle auszuführen.

Als Fortinet den Zero-Day-Fehler am 9. Februar öffentlich machte, hieß es, dass die Sicherheitslücke „möglicherweise bereits aktiv ausgenutzt wird“. Kurze Zeit später fügte die CISA (Cybersecurity and Infrastructure Security Agency) CVE-2024-21762 zu ihrem Katalog bekannter ausgenutzter Sicherheitslücken hinzu.

Bislang gibt es keine detaillierten Informationen über Angriffe, die CVE-2024-21762 ausnutzen, und es liegen keine Beweise für weitverbreitete Angriffe vor. Sicherheitslücken in Fortinet werden oft zunächst in hochgezielten Angriffen von ausgeklügelten Bedrohungsakteuren ausgenutzt, aber Massenausnutzungen sind nicht ungewöhnlich, besonders nach der Veröffentlichung eines Patches und der öffentlichen Bekanntgabe von Informationen.

Mehr als einen Monat nach der ersten Bekanntgabe gibt es immer noch keine Berichte über Massenangriffe. Das Unternehmen für Bedrohungsintelligenz GreyNoise, das eine technische Analyse der Sicherheitslücke durchgeführt hat, verfolgt Versuche der Ausnutzung von CVE-2024-21762, aber seine Honeypots haben bisher keine Angriffe registriert.

Auch Fortinet scheint die Ausnutzung nicht bestätigt zu haben – in seiner Sicherheitswarnung heißt es weiterhin, die Sicherheitslücke werde „möglicherweise ausgenutzt“.

Die gemeinnützige Cybersicherheitsorganisation Shadowserver sieht fast 150.000 Fortinet-Produktinstanzen, die von CVE-2024-21762 betroffen sein könnten, hat jedoch nichts über tatsächliche Angriffsversuche erwähnt.

Die höchste Anzahl potenziell anfälliger Systeme, die Shadowserver registriert hat, befindet sich in den Vereinigten Staaten, gefolgt von Indien. Tausende von Instanzen wurden auch in Europa, China, Kanada, Mexiko und Brasilien gesehen.

Bishop Fox stellt ein Open-Source-Tool zur Verfügung, mit dem Organisationen feststellen können, ob ein Gerät von der Sicherheitslücke betroffen ist.