SECURITY ADVISORY

Pre-Auth-RCE im Fortinet SSL-VPN („XORtigate“)

Ein nicht authentifizierter Angreifer aus dem Netz kann über einen Heap-basierten Pufferüberlauf in der SSL-VPN-Komponente von FortiOS und FortiProxy beliebigen Code auf der Firewall ausführen – ohne gültige Zugangsdaten und ohne Zutun eines Nutzers. Betroffen ist genau das Gerät, das das Unternehmensnetz nach außen absichern soll. Die unter dem Namen „XORtigate“ bekannte Schwachstelle wird aktiv ausgenutzt und steht im CISA-KEV-Katalog, auch im Zusammenhang mit Ransomware.

CVE-ID

cve-id

CVSS

cvss-2

Schweregrad

schweregrad

Hersteller

hersteller

Produkt

produkt

Veröffentlicht

veroffentlicht-am

CISA-KEV

cisa-kev

Advisory als PDF herunterladen
Sofortmaßnahmen

Was jetzt zu tun ist

Diese Schwachstelle wird aktiv ausgenutzt und steht im CISA-KEV-Katalog. Handeln Sie priorisiert:

1
Betroffenheit prüfen

Gleichen Sie Ihre Systeme mit dem Hersteller-Advisory ab – betroffenes Produkt und Version identifizieren.

2
Patch oder Workaround anwenden

Spielen Sie die vom Hersteller bereitgestellte Fix-Version ein oder aktivieren Sie den empfohlenen Workaround – ohne Verzögerung.

3
Auf Ausnutzung prüfen

Kontrollieren Sie Logs und Systeme auf Kompromittierungs-Indikatoren (ungewöhnliche Zugriffe, neue Konten, verdächtige Sitzungen).

4
Im Verdachtsfall eindämmen

Betroffene Systeme isolieren (nicht ausschalten), Beweise sichern und sofort Incident Response einbinden.

Konkret betroffene Versionen, Fix-Version, CVSS-Vektor und IoCs finden Sie im Advisory-PDF oben.

Unterstützung

So unterstützt Sie Argos Security

Ausnutzung erkennen

Das Cyber Defense Center (24/7-MDR) erkennt Ausnutzungsversuche früh und reagiert – auch außerhalb Ihrer Patch-Fenster.

Im Ernstfall reagieren

Der IR-Retainer sichert vertraglich garantierte Reaktionszeiten. Ein Anruf genügt – unser Team übernimmt.

Dauerhaft absichern

Vulnerability Management priorisiert und schließt Lücken laufend – risikobasiert, nicht nur einmal im Jahr.

Cyber-Notfall? Soforthilfe
Vulnerability Management

Quellen & Meldepflicht

Prüfen Sie die Details bei den Primärquellen: NVD (National Vulnerability Database), dem CISA-KEV-Katalog und dem Hersteller-PSIRT. Aktiv ausgenutzte, KRITIS-relevante Schwachstellen können Meldepflichten nach NIS-2/BSIG auslösen – im Zweifel Incident Response einbinden.

Sofortmaßnahmen

Was jetzt zu tun ist

Diese Schwachstelle wird aktiv ausgenutzt und steht im CISA-KEV-Katalog. Handeln Sie priorisiert:

1
Betroffenheit prüfen

Gleichen Sie Ihre Systeme mit dem Hersteller-Advisory ab – betroffenes Produkt und Version identifizieren.

2
Patch oder Workaround anwenden

Spielen Sie die vom Hersteller bereitgestellte Fix-Version ein oder aktivieren Sie den empfohlenen Workaround – ohne Verzögerung.

3
Auf Ausnutzung prüfen

Kontrollieren Sie Logs und Systeme auf Kompromittierungs-Indikatoren (ungewöhnliche Zugriffe, neue Konten, verdächtige Sitzungen).

4
Im Verdachtsfall eindämmen

Betroffene Systeme isolieren (nicht ausschalten), Beweise sichern und sofort Incident Response einbinden.

Konkret betroffene Versionen, Fix-Version, CVSS-Vektor und IoCs finden Sie im Advisory-PDF oben.

Unterstützung

So unterstützt Sie Argos Security

Ausnutzung erkennen

Das Cyber Defense Center (24/7-MDR) erkennt Ausnutzungsversuche früh und reagiert – auch außerhalb Ihrer Patch-Fenster.

Im Ernstfall reagieren

Der IR-Retainer sichert vertraglich garantierte Reaktionszeiten. Ein Anruf genügt – unser Team übernimmt.

Dauerhaft absichern

Vulnerability Management priorisiert und schließt Lücken laufend – risikobasiert, nicht nur einmal im Jahr.

Quellen & Meldepflicht

Prüfen Sie die Details bei den Primärquellen: NVD (National Vulnerability Database), dem CISA-KEV-Katalog und dem Hersteller-PSIRT. Aktiv ausgenutzte, KRITIS-relevante Schwachstellen können Meldepflichten nach NIS-2/BSIG auslösen – im Zweifel Incident Response einbinden.