Angreifer auf US-Regierungsnetzwerke kombinieren "Zerologon" mit weiteren Lücken
Sicherheitslücken in FortiOS und MobileIron Core & Connector werden mit Zerologon zu einer Exploit-Chain verwoben, warnen CISA und FBI.
(Bild: antb/Shutterstock.com)
Das FBI und die Cybersecurity and Infrastructure Security Agency (CISA) haben Ende vergangener Woche in einem gemeinsamen Alert vor aktuellen Cyberangriffen in den USA gewarnt, die sich überwiegend auf Regierungsnetzwerke konzentrierten. Offenbar kombinierten die Angreifer hierbei die kritische "Zerologon"-Sicherheitslücke in Windows Server mit weiteren Lücken zu einer Exploit-Chain – und das teils mit Erfolg.
Die Behörden raten dringend zum Einspielen der längst verfügbaren Updates und verweisen auf weitere Exploit-Kombinationen, auf die die Angreifer in naher Zukunft ausweichen könnten.
Viele Systeme noch immer angreifbar
Um initialen Zugriff auf das jeweillige Netzwerk zu erlangen, hätten die Angreifer in mehreren Fällen die FortiOS-Sicherheitslücke CVE-2018-13379 missbraucht. Die hatte Fortinet bereits Ende Mai 2019 aus dem SSL-VPN-Webportal des FortiOS-Betriebsystems entfernt. In einigen, allerdings deutlich weniger Fällen sei stattdessen eine kritische Remote-Code-Execution-Lücke jüngeren Datums in MobileIron Core & Connector (CVE-2020-15505, betrifft Versionen bis inkl. 10.3) zum Einsatz gekommen.
- Update-Informationen zu CVE-2018-13379 (FortiOS)
- Update-Informationen zu CVE-2020-15505 (MobileIron Core & Connector)
Im zweiten Schritt hätten die Angreifer dann auf Zerologon (CVE-2020-1472) gesetzt, um sich Domänen-Admin-Rechte zu verschaffen. Microsoft hatte die kritische Lücke in Windows Server im August dieses Jahres gepatcht. Bereits seit Mitte September ist Exploit-Code für Zerologon verfügbar, kurze Zeit später warnte Microsoft vor ersten aktiven Angriffen in freier Wildbahn.
Notfall-Richtlinie nicht berücksichtigt
In Bezug auf Hintergrund und Zweck der Angriffe liest sich der Alert von FBI und CISA eher vage. In einigen Fällen sei es den Angreifern gelungen, sich Zugang zu Wahlunterstützungssystemen zu verschaffen, allerdings gebe es bislang keine handfesten Anhaltspunkte dafür, dass die Wahlintegrität kompromittiert wurde. Auch sei völlig offen, ob die Verfügbarkeit von Wahldaten überhaupt ein Angriffskriterium dargestellt habe.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier eine externe Umfrage (Opinary GmbH) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Dass der Zugriff überhaupt – und offenbar vielfach – gelang, ist vor allem vor dem Hintergrund bedenklich, dass die CISA bereits am 18. September 2020 eine Notfall-Richtlinie für US-Regierungs-Admins veröffentlicht hatte. Diese gab ihnen bis zum 21. September Zeit, Systeme gegen Zerologon abzusichern. Passiert ist das offensichtlich längst nicht in allen Fällen.
(ovw)