Sicherheitshinweise: WatchGuard veröffentlicht drei neue CVEs für Single-Sign-On (SSO) – incl. Workaround

WatchGuard hat heute drei aktuelle Sicherheitshinweise veröffentlicht, darunter auch zwei kritische Sicherheitslücken:

  • WatchGuard Firebox Single Sign-On Client Denial-of-Service (CVE-2024-6594)
  • WatchGuard SSO Agent Telnet Authentication Bypass (CVE-2024-6593)
  • WatchGuard Firebox Single Sign-On Agent Protocol Authorization Bypass (CVE-2024-6592)

Für alle drei CVEs (Common Vulnerabilities and Exposures) hat WatchGuard bereits ausführliche Beschreibungen bereitgestellt, einschließlich passender Workarounds, um betroffene Systeme zu schützen.

Um diese Schwachstellen auszunutzen, müsste sich ein potenzieller Angreifer bereits im lokalen Netzwerk befinden. Dies schränkt das Risiko zwar ein, stellt jedoch in Umgebungen, in denen das Netzwerk nicht strikt segmentiert oder andere Sicherheitsmaßnahmen nicht konsequent umgesetzt werden, eine erhebliche Bedrohung dar.

Betroffen sind die Komponenten WatchGuard (Single-Sign-On) Authentication Gateway und WatchGuard Single-Sign-On Client. Ein Angreifer im lokalen Netzwerk mit Netzwerk-Zugriff auf die entsprechenden Clíents kann hier einen Denial-of-Service Angriff starten. Mit Netzwerk-Zugriff auf das Authentication Gateway können eventuell Management-Kommandos an das Gateway gesendet werden.

Als Workaround sollten das Gateway und die Clients mit lokalen Firewall-Richtlinien geschützt werden. Im Falle der Clients rollen Sie lokale Firewall-Regel per Group-Policy aus, die den Zugriff auf den Port 4116 der SSO-Clients nur noch vom Authentication Gateway aus erlaubt. Im Falle des Authentication Gateways sollte der Port 4114 auf Zugriff ausschließlich von der Firewall beschränkt werden (Datenfluss: Firewall => Authentication Gateway Port 4114, bzw. Authentication-Gateway => SSO-Client Port 4116).

Die Orignal-Meldung von WatchGuard finden Sie unter >> WatchGuard Firebox SSO Client and Agent Vulnerabilites.

Leave a Reply

Your email address will not be published. Required fields are marked *