Fragen? Antworten! Siehe auch: Alternativlos
A missing authentication for critical function vulnerability [CWE-306] in FortiManager fgfmd daemon may allow a remote unauthenticated attacker to execute arbitrary code or commands via specially crafted requests.Wohlgemerkt: Nicht "die haben den Erlaubnis-Check verkackt" oder "man kann sich vorbeimogeln". Nein. Es gibt keinen Check.Das ist schlimmer als Cisco! Die haben einen Check aber das Passwort ist fixiert.
Fortinet hat nicht mal einen Backdoor-Acccount. Es gibt keine Accounts an der Stelle.
Das ist wirklich unglaublich. Denkt dran, dass wir hier von einer Firewall reden. Von einer Security-Komponente. Von der TCB. Das ist die kritische Infrastruktur in euren Netzen. Und da haben die "vergessen", nach einem Login zu fragen.
Unfassbar.