Jetzt Passwörter ändern! Liste mit 50.000 Log-in-Daten für Fortinet-VPNs geleakt
Angreifer könnten über Credential-Stuffing-Attacken die Kontrolle über VPN-Systeme von Fortinet erlangen.
Admins sollten die Zugangsdaten für im Einsatz befindliche Fortinet-VPNs ändern. In verschiedenen Hacker-Foren ist eine Liste mit Log-in-Daten zu fast 50.000 VPN-Systemen aufgetaucht.
Das Archiv soll 6,7 GByte groß sein und zum Teil Passwörter im Klartext enthalten, berichtet ein Sicherheitsforscher mit dem Pseudonym Bank Security auf Twitter. Der Forscher warnte bereits davor, dass eine IP-Liste von verwundbaren Fortinet-VPNs veröffentlicht wurde. Nun sind die zugehörigen Zugangsdaten aufgetaucht. In den Daten könne man auch die jeweiligen Zugangsrechte einsehen.
Patchen allein genügt nicht!
Hintergrund ist eine "kritische" Sicherheitslücke (CVE-2018-13379) aus dem Jahr 2019, für die derzeit Exploit-Code in Umlauf ist. Durch das erfolgreiche Ausnutzen der Schwachstelle könnten Angreifer auf eigentlich abgeschottete sslvpn_webssions-Dateien zugreifen. Dort befinden sich unter anderem unverschlüsselte Nutzernamen und Passwörter.
Patches sind bereits seit rund zwei Jahren verfügbar. Das Problem ist, aufgrund der geleakten Zugangsdaten sind selbst zwischenzeitlich abgesicherte VPNs so lange gefährdet, bis Admins die Passwörter austauschen. Das sollte auch bei allen Online-Services geschehen, die auf identische Kennwörter setzen.
Passiert das nicht, könnten Angreifer Credential-Stuffing-Attacken auf VPNs fahren und so auf gut Glück ausprobieren, ob Einträge aus der Liste funktionieren und ihnen den Zugriff gewähren. Dem Sicherheitsforscher zufolge gehören die betroffenen IP-Adressen größtenteils zu Websites der US-Regierung. Weltweit sind außerdem noch Finanz- und Telekommunikationsunternehmen betroffen.
(des)