Fortinet schließt insgesamt 40 Sicherheitslücken in den Produkten des Unternehmens zum Februar-Patchday. Die bereitstehenden Updates dichten die Lecks ab, von denen der Hersteller zwei als kritisches Sicherheitsrisiko einstuft. Für eine der Schwachstellen haben IT-Sicherheitsforscher die Veröffentlichung eines Proof-of-Conecpt-Exploits angekündigt. IT-Verantwortliche sollten die Patches daher rasch herunterladen und einrichten. Von den 40 mit Aktualisierungen behobenen Sicherheitslücken gelten dem Hersteller zufolge zwei als kritisches, 15 als hohes, 22 als mittleres und eine als niedriges Risiko. Eine der kritischen Sicherheitslücken betrifft FortiNAC und ermöglicht nicht authentifizierten Angreifern aus dem Netz beliebige Schreibzugriffe auf dem verwundbaren System (CVE-2022-39952, CVSS 9.8, Risiko „kritisch“). Die IT-Sicherheitsforscher von Horizon3 haben dafür auf Twitter die Veröffentlichung eines Proof-of-Concept-Exploits angekündigt. Cybergangs dürften diesen Code schnell in ihren Werkzeugkasten übernehmen. Daher sollten Administratorinnen und Administratoren nicht zögern und das Update umgehend installieren. Die zweite kritische Sicherheitslücke findet sich im Proxyd von FortiWeb. Nicht authentifizierte Angreifer aus dem Netz könnten mit präparierten HTTP-Anfragen mehrere Stack-basierte Pufferüberläufe provozieren und so beliebigen Code einschleusen und ausführen (CVE-2021-42756, CVSS 9.3, kritisch). Die weiteren Sicherheitslücken betreffen die Produkte FortiADC, FortiAnalyzer, FortiAuthenticator, FortiExtender, FortiNAC, FortiOS, FortiPortal, FortiProxy, FortiSandbox, FortiSwitchManager, FortiWAN und FortiWeb. In der Patchday-Übersicht von Fortinet listet der Hersteller alle Schwachstellen und Sicherheitsnotizen dazu auf. Im Januar hatte das Unternehmen deutlich weniger Lücken zu schließen. Auch der Bedrohungsgrad lag mit lediglich „hoch“ unter dem Risiko der jetzt geschlossenen Sicherheitslecks. IT-Verantwortliche sind gut beraten, die bereitstehenden Aktualisierungen zügig anzuwenden – insbesondere mit Hinblick auf den angekündigten Proof-of-Concept-Exploit.