{"id":25000,"date":"2024-09-25T18:22:29","date_gmt":"2024-09-25T16:22:29","guid":{"rendered":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/?p=25000"},"modified":"2024-09-26T10:51:24","modified_gmt":"2024-09-26T08:51:24","slug":"sicherheitshinweise-watchguard-veroeffentlicht-drei-neue-cves-fuer-single-sign-on-sso-incl-workaround","status":"publish","type":"post","link":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/2024\/09\/sicherheitshinweise-watchguard-veroeffentlicht-drei-neue-cves-fuer-single-sign-on-sso-incl-workaround\/","title":{"rendered":"Sicherheitshinweise: WatchGuard ver\u00f6ffentlicht drei neue CVEs f\u00fcr Single-Sign-On (SSO) &#8211; incl. Workaround"},"content":{"rendered":"<p>WatchGuard hat heute drei\u00a0<a href=\"https:\/\/www.watchguard.com\/wgrd-psirt\/advisories\" target=\"_blank\" rel=\"nofollow noopener\">aktuelle Sicherheitshinweise<\/a>\u00a0ver\u00f6ffentlicht, darunter auch zwei kritische Sicherheitsl\u00fccken:<\/p>\n<ul>\n<li>WatchGuard Firebox Single Sign-On Client Denial-of-Service\u00a0(<a href=\"https:\/\/www.watchguard.com\/wgrd-psirt\/advisory\/wgsa-2024-00016\" target=\"_blank\" rel=\"nofollow noopener\">CVE-2024-6594<\/a>)<\/li>\n<li>WatchGuard SSO Agent Telnet Authentication Bypass\u00a0(<a href=\"https:\/\/www.watchguard.com\/wgrd-psirt\/advisory\/wgsa-2024-00015\" target=\"_blank\" rel=\"nofollow noopener\">CVE-2024-6593<\/a>)<\/li>\n<li>WatchGuard Firebox Single Sign-On Agent Protocol Authorization Bypass\u00a0(<a href=\"https:\/\/www.watchguard.com\/wgrd-psirt\/advisory\/wgsa-2024-00014\" target=\"_blank\" rel=\"nofollow noopener\">CVE-2024-6592<\/a>)<\/li>\n<\/ul>\n<p>F\u00fcr alle drei CVEs (Common Vulnerabilities and Exposures) hat WatchGuard bereits ausf\u00fchrliche Beschreibungen bereitgestellt, einschlie\u00dflich passender Workarounds, um betroffene Systeme zu sch\u00fctzen.<!--more--><\/p>\n<p>Um diese Schwachstellen auszunutzen, m\u00fcsste sich ein potenzieller Angreifer bereits im lokalen Netzwerk befinden. Dies schr\u00e4nkt das Risiko zwar ein, stellt jedoch in Umgebungen, in denen das Netzwerk nicht strikt segmentiert oder andere Sicherheitsma\u00dfnahmen nicht konsequent umgesetzt werden, eine erhebliche Bedrohung dar.<\/p>\n<p>Betroffen sind die Komponenten WatchGuard (Single-Sign-On) Authentication Gateway und WatchGuard Single-Sign-On Client. Ein Angreifer im lokalen Netzwerk mit Netzwerk-Zugriff auf die entsprechenden Cl\u00edents kann hier einen Denial-of-Service Angriff starten. Mit Netzwerk-Zugriff auf das Authentication Gateway k\u00f6nnen eventuell Management-Kommandos an das Gateway gesendet werden.<\/p>\n<p>Als Workaround sollten das Gateway und die Clients mit lokalen Firewall-Richtlinien gesch\u00fctzt werden. Im Falle der Clients rollen Sie lokale Firewall-Regel per Group-Policy aus, die den Zugriff auf den Port 4116 der SSO-Clients nur noch vom Authentication Gateway aus erlaubt. Im Falle des Authentication Gateways sollte der Port 4114 auf Zugriff ausschlie\u00dflich von der Firewall beschr\u00e4nkt werden (Datenfluss: Firewall =&gt; Authentication Gateway Port 4114, bzw. Authentication-Gateway =&gt; SSO-Client Port 4116).<\/p>\n<p>Die Orignal-Meldung von WatchGuard finden Sie unter\u00a0<a href=\"https:\/\/www.watchguard.com\/wgrd-blog\/watchguard-firebox-sso-client-and-agent-vulnerabilities\" target=\"_blank\" rel=\"nofollow noopener\">&gt;&gt; WatchGuard Firebox SSO Client and Agent Vulnerabilites<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>WatchGuard hat heute drei\u00a0aktuelle Sicherheitshinweise\u00a0ver\u00f6ffentlicht, darunter auch zwei kritische Sicherheitsl\u00fccken: WatchGuard Firebox Single Sign-On Client Denial-of-Service\u00a0(CVE-2024-6594) WatchGuard SSO Agent Telnet Authentication Bypass\u00a0(CVE-2024-6593) WatchGuard Firebox Single Sign-On Agent Protocol Authorization Bypass\u00a0(CVE-2024-6592) F\u00fcr alle drei CVEs (Common Vulnerabilities and Exposures) hat WatchGuard bereits ausf\u00fchrliche Beschreibungen bereitgestellt, einschlie\u00dflich passender Workarounds, um betroffene Systeme zu sch\u00fctzen.<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[445,30],"tags":[1073,1122,1121,1120,1123,313,95,314,315,1124],"class_list":["post-25000","post","type-post","status-publish","format-standard","hentry","category-aktuelle-nachrichten","category-watchguard-security-center","tag-cve","tag-cve-2024-6592","tag-cve-2024-6593","tag-cve-2024-6594","tag-sicherheitshinweis","tag-single-sign-on","tag-sso","tag-sso-agent","tag-sso-client","tag-workaround"],"_links":{"self":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/25000"}],"collection":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/comments?post=25000"}],"version-history":[{"count":6,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/25000\/revisions"}],"predecessor-version":[{"id":25013,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/25000\/revisions\/25013"}],"wp:attachment":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/media?parent=25000"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/categories?post=25000"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/tags?post=25000"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}