Am 25. September 2024 veröffentlichten Forscher von RedTeam-Pentesting.de einen Bericht, der drei Schwachstellen in der Firebox SSO Client & Agent-Software beschreibt. Betroffen sind die Firebox Authentication Gateway (SSO Agent) Versionen bis einschließlich 12.10.2 sowie die Firebox Single Sign-On Client Versionen bis einschließlich 12.7. Dies sind die aktuellsten Versionen der jeweiligen Softwarekomponenten. Dieses Problem betrifft nur Firebox-Kunden, die die SSO-Funktion verwenden, um lokale Benutzer und Geräte bei der Firebox zu authentifizieren. Weniger als 10 % der WatchGuard-Kunden nutzen diese Funktion. WatchGuard ist sich keiner Exploit-Versuche in freier Wildbahn bewusst.
Das WatchGuard-Entwicklungsteam arbeitet aktiv an einer Lösung für diese Schwachstellen. Administratoren sollten die Sicherheitshinweise (CVE-2024-6592/WGSA-2024-00014, CVE-2024-6593/WGSA-2024-00015, CVE-2024-6594/WGSA-2024-00016) auf psirt.watchguard.com überprüfen, um aktuelle Informationen zur Schadensminderung und zukünftigen Korrekturanweisungen zu erhalten.
Alle diese Schwachstellen erfordern Netzwerkzugriff auf die betroffenen Komponenten (den lokal auf einem Server installierten SSO Agent und/oder die lokal auf Benutzerarbeitsstationen installierten SSO Clients). WatchGuard-Kunden sollten bewährte Sicherheitspraktiken befolgen, einschließlich der Installation von Endpunktschutz und der Verwendung sicherer Fernzugriffsmethoden wie VPNs, um das Risiko zu verringern, dass ein Angreifer ein lokales System kompromittiert.
Zusammenfassung der gemeldeten Schwachstellen:
CVE-2024-6592/WGSA-2024-00014 ist eine kritische Autorisierungsumgehungsschwachstelle im Protokoll, das der Firebox SSO Agent und Client zur Kommunikation miteinander verwenden. Ein Angreifer, der zunächst Zugriff auf dasselbe Netzwerk wie der SSO Agent oder ein SSO Client erlangt hat, könnte die Schwachstelle ausnutzen, um beliebige Nachrichten an eine der beiden Komponenten zu senden. Dies könnte es ihm ermöglichen, Benutzernamen und Gruppen authentifizierter Benutzer im Netzwerk zu extrahieren oder einen beliebigen Benutzer künstlich mit einer IP-Adresse zu verknüpfen. Diese Schwachstelle kann nicht dazu verwendet werden, um auf Benutzeranmeldeinformationen zuzugreifen.
CVE-2024-6593/WGSA-2024-00015 ist eine kritische Authentifizierungsumgehungsschwachstelle in der Telnet-Verwaltungsschnittstelle des Firebox SSO Agents. Ein Angreifer, der zunächst Zugriff auf dasselbe Netzwerk wie der SSO Agent erlangt hat, könnte die Schwachstelle ausnutzen, um die Authentifizierung zu umgehen und Verwaltungsbefehle auf dem SSO Agent auszuführen. Dies könnte es ihm ermöglichen, Benutzernamen und Gruppen authentifizierter Benutzer im Netzwerk zu extrahieren oder einen beliebigen Benutzer künstlich mit einer IP-Adresse zu verknüpfen. Diese Schwachstelle kann nicht dazu verwendet werden, um auf Benutzeranmeldeinformationen zuzugreifen.
CVE-2024-6594/WGSA-2024-00016 ist eine hochgradige Denial-of-Service (DoS) Schwachstelle im Firebox SSO Client. Ein Angreifer, der zunächst Zugriff auf dasselbe Netzwerk wie ein Gerät mit installiertem SSO Client erlangt, kann fehlerhafte Befehle senden und den SSO Client wiederholt abstürzen lassen, wodurch die normale Single-Sign-On-Funktionalität verhindert wird. Diese Schwachstelle kann nicht dazu verwendet werden, um auf Benutzeranmeldeinformationen zuzugreifen.
